Rapid7披露了远程代码执行缺陷 恩菲尔德委员会部署客户服务机器人 Apple及时回到补丁OS x 10.6雪豹 Atos Hits Rio 2016奥运会IT里程碑 科学家表示,网络安全必须顶级英国议程 防水Galaxy S7边缘使得非正式的首次亮相 这些欧洲移动网络将阻止客户手机上的“无关”广告 忘记卡片和鲜花; Crowdfunding网站有助于支付医疗费用 怒火一刀免费升级,怒火一刀手游装备融合技巧分享 来自Cyber​​tronpc的怪物游戏笔记本电脑最新的桌面硬件 研究表明,欧盟公司缓慢检测网络攻击 手表:波音新的737 Max有第一次测试飞行 内部Verizon的超级碗控制中心 gov.uk验证2016年5月24日上市 BT销售于2016年季度增长了35%,Q2随着EE和宽带提升 隐私盾牌良好的是至少一年,说欧盟监管机构 新的办公室365个人资料帮助人们了解他们的同事 雅虎在主要周转计划中削减了职位并关闭Web房产 北欧Cio采访:Claes-Håkan约翰逊,Prem 千禧一代的近60%通过公司网站搜索工作 思科希望成为数字转型的基础 没有达成协议,以取代安全港附近 Qualcomm的新型LTE调制解调器击中了千兆,触及了移动的未来 Natero为客户生命周期管理带来预测分析 政府测试使用社交媒体帐户核实在线用户身份 汉考克规定了数字转型的关键原则 强大的Android银行管理恶意软件的源代码泄露 Simon Stevens推出Medtech创新基金 Facebook在监管崩溃后从印度撤回免费基础知识 制造商表示,下载速度不是最大的宽带关注 像Chromebook,拇指尺寸的电脑很快就会起飞 劳里的爱可能会伪装精神疾病索赔律师 全球32亿人现在使用互联网 像Chromebook,拇指尺寸的电脑很快就会起飞 特斯拉模型3是Elon Musk的下一个巨大的赌注(他自己的现金中的5.5亿美元) 北欧Cio采访:伯根大学托尔伯海姆 拒绝机器学习是修复错误代码的冠军 挑战者银行椋鸟获得英国银行许可证 法国当局在税务欺诈探测中袭击了谷歌的巴黎办事处 Apple希望法庭规则,如果它可以被迫解锁iPhone Nutanix为容器,物理服务器和全闪存添加存储 英国社交媒体习惯是企业安全风险,警告英特尔安全 第二次事故后,特斯拉不会关闭自动驾驶仪 超越Centrino:英特尔驱动器驱动器的5G世界变化 您的Galaxy S7或S7 Edge有哪些芯片? Facebook面临法国对美国的数据转移限制 FINTECH彻底彻底改变了中东的银行业 蒂姆厨师的苹果专注于印度疯狂 技能短缺和IT基础设施差,东盟各国政府采用科技采用 ARM的新型Cortex-A32芯片应在Android佩戴小工具中提升电池寿命
您的位置:首页 >数据库 >

Rapid7披露了远程代码执行缺陷

Security公司Rapid7披露了OpenAPI规范或Swagge Code Generator的安全漏洞,用于NodeJS,PHP,Ruby和Java。

根据RAPID7研究人员,攻击者可以利用漏洞使远程执行远程执行,该研究人员已提出更改规范以修复漏洞。

研究人员还向美国提供了一项提议的技术工程研究所(SEI)的表机应急响应团队(CERT)的协调中心,并发布了Metasploit渗透测试框架的模块。

2016年1月,威尔摇摇晃晃的规范捐赠给开放的API倡议(OAI)和Openapi规范的基础,通常称为播放。

该漏洞披露符合RAPID7在初步尝试联系负责代码的人员后60天发布详细介绍漏洞的咨询的披露策略。

对于公司渴望为越来越需要的可扩展应用程序编程接口(API)部署和测试提供价值,使用可以轻松和Quickenthe开发,测试和可部署性的规范将具有高价值。

然而,RAPID7研究人员在以下这样的API文档/定义系统中表示,滥用了应考虑生成服务的工具和规范的信任。

根据研究人员的说法,恶意制作的Swagger文件可用于动态创建具有嵌入式任意代码的API客户端和服务器。

他们说,这是通过以下事实实现了一些解析器/生成器信任威格文档中的不充分消毒参数来生成代码库。

在客户端,存在在信任恶意摇摆文档到Compereany生成的代码基础上的漏洞,最常以动态生成的apiclient的形式。

在服务器端,在服务中消耗Swagger以动态生成和服务API客户端,服务器模拟UPS和测试规范的服务中存在漏洞。

RAPID7研究人员表示,对所有问题的缓解,包括在注射之前的正确逃逸参数,同时考虑到变量在内联代码创建中使用变量。

减轻还包括在适当的情况下,确保对API规范的信任的背景可以维护在已知的,易于可避单的情况下的远程代码执行的代码级别的代码。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。