Софт для Windows    Программы для смартфонов и планшетов, мобильный софт    Софт для Линукс, Unix, Linux
 

Новое руководство по противодействию самым актуальным угрозам ИБ


Проблема интерпретаторов

В популярных высокоуровневых языках программирования содержатся уязвимости, которые ставят под угрозу любые приложения, написанные на них. Даже те, чья безопасность неоднократно проверена. Об этом заявил, выступая на конференции Black Hat Europe 2017 эксперт по информационной безопасности IOActive Фернандо Арнабольди (Fernando Arnaboldi).

Арнабольди исследовал функциональность нескольких наиболее популярных таких языков: JavaScript, Perl, PHP, Python и Ruby, тех, которые чаще всего используются для создания веб-приложений.

Для выявления уязвимостей он применял методику автоматического тестирования ПО под названием 'фаззинг', которая заключается в передаче приложению на вход неправильных, неожиданных или случайных данных. Предметом интереса являются падения и зависания, нарушения внутренней логики и проверок в коде приложения, утечки памяти, вызванные такими данными на входе. Специально для тестирования языков и их компиляторов, Арнабольди разработал специализированный расширенный фреймворк XDiFF, с помощью которого тестируется сама структура языков.

Исследованию подверглись языки JavaScript (трансляторы v8, ChakraCore, Spidermonkey, NodeJS, Node), PHP (трансляторы PHP и HHVM), Ruby (Ruby, JRuby), Perl (Perl, ActivePerl) и Python (CPython, PyPy, Jython).

'Перед исполнением фаззер генерирует все возможные варианты тестирования, производя перестановки между функциями и вариантами полезной нагрузки. Тест единовременно сопоставлял одну функцию языка с разными такими вариантами', - говорится в исследовании, опубликованном Арнабольди.

В интерпретаторах JavaScript, Perl, PHP, Python и Ruby
присутствуют уязвимости, передаваемые ими в создаваемое ПО

Нахождение интересных уязвимостей целиком и полностью зависит от правильного ввода, - пояснил исследователь. - Для данного тестирования использовались менее тридцати примитивных величин (число, буква и т.д.), скомбинированные со специальными примерами полезной нагрузки так, чтобы можно было определить, когда ПО пытается получить доступ к внешним ресурсам.

Незадокументированные функции и имена констант

В результате исследования Арнабольди обнаружил следующие проблемы.

В Python содержатся незадокументированные методы и переменные локальной среды, которые можно использовать для выполнения команд на уровне операционной системы.

В Perl содержится функция typemaps, способная выполнить код eval().

NodeJS выдаёт ошибки, частично раскрывающие содержание файла.

JRuby загружает и выполняет посторонний код на функции, которая этого не предполагает.

Имена констант PHP можно использовать для удалённого выполнения команд.

По мнению Арнабольди, эти уязвимости стали следствием ошибок разработчиков или их попыток упростить написание ПО. Уязвимости в итоге оказывают влияние на обычные приложения, парсинг которых осуществляют перечисленные компилятор; и именно компиляторы и должны быть исправлены.

Исследователь также отметил, что даже самые безопасные приложения, созданные с помощью этих языков и компиляторов, могут быть уязвимы.

'Разработчики ПО могут непредумышленно внедрить код в приложение, который затем будет использован не так, как предполагали сами авторы приложения. Некоторые варианты его поведения могут представлять серьёзный риск для безопасности приложений, даже если их разработка велась в полном соответствии с нормами безопасности', - заявил Арнабольди.

С ним согласен Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services.

'Несомненно, если строить крепкий дом на бракованном фундаменте, то он долго не простоит, - заметил эксперт. - Любая система будет надёжной ровно настолько, насколько надёжен самый слабый её компонент. Даже если этот компонент лежит в самом основании'.

Другие новости на эту тему

Канадские и американские ученые предложили биологическое объяснение эффекту порядка рождения братьев - связи между числом старших братьев по материнской линии и гомосексуальностью младшего ребенка. Исследование опубликовано в журнале Proceedings of the National Academy of Sciences...
Американские ученые нашли причину, по которой взрываются подлетающие к Земле космические тела. Исследование опубликовано в журнале Meteoritics & Planetary Science, сообщает Университет Пердью (США).'Существует большой градиент между воздухом с высоким давлением перед метеороидом и разрежением позади него, - отмечает соавтор статьи Джей Милош...
Президент США Дональд Трамп подписал директиву о политике в сфере космоса, предусматривающую отправку человека на Луну и Марс. Об этом сообщается на сайте Национального аэрокосмического агентства NASA...
Ученые из Бингемтонского университета (США) выяснили, что разные продукты по разному влияют на настроение людей разных возрастов. Результаты исследования опубликованы на портале MedicalXpress...
В интернет попали фото нового флагмана Xiaomi Первые фото, связанные со смартфоном Xiaomi Mi Mix 3, премьера которого запланирована на следующий год, появились в китайской сети Weibo, аналоге Twitter. Речь идет о снимках задней крышки будущего флагмана, благодаря которой становится очевидно, что смартфон оснастят двойной основной камерой...
Российская доля рейтингаВ рейтинг 500 самых быстрорастущих высокотехнологических компаний в странах Европы, Африки и Ближнего Востока (ЕБВА), Deloitte Technology Fast 500 вошли две российские компании. Компания Boardmaps заняла 182 место, продемонстрировав рост на 693%. ITI Capital оказалось на 220 строчке с результатом 561%...
Инициатива МинобрнаукиМинобрнауки России предлагает полностью, без сокращений выкладывать в интернете дипломные и выпускные работы студентов. Также министерство намерено запретить в интернете рекламу написания курсовых, дипломов и диссертаций на заказ.Соответствующие предложения содержатся в новом законопроекте, который разработало Минобрнауки...
Ученые Университета штата Техас воспроизвели голос Tyrannosaurus rex, они назвали его самым страшным звуком, который когда-либо слышали. Об этом сообщает The Telegraph.Реконструкция рычания тираннозавра основана на звуках, которые издают птицы и аллигаторы. Эти животные - ближайшие родственники динозавров...
Палеонтологи из Музея естественной истории и науки в Нью-Мексико и Денверского университета в Колорадо обнаружили новый вид мечехвоста, который жил 245 миллионов лет назад. Организм был назван Vaderlimulus tricki за его схожесть с Дартом Вейдером - антагонистом киноэпопеи 'Звездные войны'. Об этом сообщает Fox News...
Французские, немецкие и британские геофизики в течение почти 20 лет не могут объяснить природу гула Земли - акустических аномалий, проявляющихся в колебаниях океанского дна. Исследование опубликовано в журнале Geophysical Research Letters.Как пишет Daily Mail, ученые зафиксировали колебания частотой 2,9-4,5 миллигерца в двух точках Индийского океана на глубине 4540 и 4260 метров...

 

Блог о софте

AVG 2013 Christmas Collection Mega Pack Final Version-FL | 761 MBAVG 2013 Christmas Collection Mega Pack Final VersionYou Have a Complete Collection of AVG 2013 SoftwareMega Pack Contains:AVG Antiviru
О программе:Zoner Photo Studio Pro - приложение, созданное для качественной обработки цифровых снимков...
Sophos Virus Removal Tool - антивирусный сканер проведет диагностику вашего ПК на наличие вирусов, программ-шпионов, руткитов и поддельных антивирусов и удалит их...
Photo Collage Max – программа, которая создает фотоколлажи. Так же создает альбомы, календари и т.п. Содержит в себе множество шаблонов, фигур, масок, фоторамок...
Дизайн Календарей - это доступная и удобная программа для создания красивых календарей с фотографиями на любой год или месяц...

Популярный софт

VKMusic 4.56 - VKMusic это бесплатная программа, с помощью которой вы сможете скачать музыку, видео и фотографии из вконтакта себе на компьютер. VKMusic также позволяет скачивать...
скачать VKMusic v.4.56 скачать VKMusic v.4.56 бесплатно
39 Mb
Скачать Typing Reflex v.3.11  
Клавиатурный тренажер Typing Reflex основан на одной из самых эффективных методик обучения. Слепой десятипальцевый метод можно освоить за 8-12 часов занятий. Базовый курс включает 120-200...
скачать Typing Reflex v.3.11 скачать Typing Reflex v.3.11 бесплатно
5 Mb
Скачать Capture By George! v.2.60 RE  
Capture By George! - это современная программа для захвата изображения на экране Windows, которая предлагает простой и интуитивно понятный подход к получению "скриншотов". Просто укажите область на...
скачать Capture By George! v.2.60 RE скачать Capture By George! v.2.60 RE бесплатно