Вольногорск

информационный


left

icon user Новости науки и техники 11 декабрь 2017

icon comment 0 Комментариев

Защищенные приложения уязвимы к атакам из-за языков программирования

ib-doao2u0go_b0710acb.jpgСогласно результатам исследования , представленным на прошлой неделе на конференции Black Hat Europe 2017, защищенные приложения подвержены атакам из-за уязвимостей в интерпретируемых языках программирования, на которых они написаны.

Автором исследования является старший консультант по безопасности компании IOActive Фернандо Арнаболди (Fernando Arnaboldi). С помощью автоматизированный техники, известной как фаззинг, эксперт протестировал интерпретаторы пяти популярных языков программирования – JavaScript, Perl, PHP, Python и Ruby. Фаззинг позволяет выявить такие проблемы, как аварийное завершение работы, «зависание» и повреждение памяти. Как правило, некоторые из них возникают не потому, что код приложения требует оптимизации, а являются результатом более серьезных проблем с безопасностью в языках программирования.

В ходе исследования Арнаболди использовал созданный им самим «дифференциальный фаззер» XDiFF (Extended Differential Fuzzing Framework), специально адаптированный для тестирования структуры и принципа работы интерпретируемых языков программирования. Как оказалось по результатам исследования:

-Python содержит незадокументированные методы и переменные локальной среды, позволяющие выполнить команды ОС.

-Perl содержит функцию typemaps, способную выполнить код, как eval().

-NodeJS выводит сообщения об ошибке, способные раскрывать частичное содержимое файлов.

-JRuby загружает и выполняет удаленный код на функции, не предназначенной для удаленного выполнения кода.

-Константа PHP может использоваться для удаленного выполнения команд.

Интерпретируемый язык программирования – язык программирования, в котором исходный код программы не преобразовывается в машинный код для непосредственного выполнения центральным процессором (как в компилируемых языках), а исполняется с помощью специальной программы-интерпретатора.

Фаззинг (fuzzing) – техника тестирования программного обеспечения, часто автоматическая или полуавтоматическая, заключающая в передаче приложению на вход неправильных, неожиданных или случайных данных.

Источник http://www.internetua.com/

Просмотров: 12


Комментарии

Имя:

code Код:

right