足球彩票app官网下载博彩平台免费注册

商讨东说念主员训诫说，由于16个不同的URL解析库之间的不一致而导致的8个不同的安全错误，可能导致多种Web应用法子中的停止就业(DoS)情况、信息露馅和汉典代码执行(RCE)。

这些错误是在为各式言语编写的第三方Web包中发现的，况且像Log4Shell和其他软件供应链要挟同样，可能已被导入到数百或数千个不同的Web应用法子和面目中。受影响的是Flask(一个用Python编写的小型Web框架)、Video.js(HTML5视频播放器)、Belledonne(免费的VoIP和IP视频电话)、Nagios XI(汇聚和就业器监控)和Clearance(Ruby密码考证)。

跳至问题摘抄。

贯通URL解析繁杂

URL解析是将Web地址剖判为其底层组件的经由，以便正确地将流量路由到不同的连络或不同的就业器。可用于各式编程言语的URL解析库频频被导入到应用法子中以达成此功能。

来自Claroty Team82商讨部门和Synk的商讨东说念主员在周一的一份分析进展中写说念：“URL骨子上是由五个不同的组件组成的：决策、权限、旅途、查询和片断。”“每个组件齐演出着不同的扮装，它决定了苦求的公约、握有资源的主机、应该得到的实在资源等等。”

凭据轮廓分析，由于每个库进行解析行径的形势不同，安全错误会一会儿出现。

Team82和Synk商讨了16个不同的URL解析库，包括：urllib(Python)、urllib3(Python)、rfc3986(Python)、httptools(Python)、curl lib(cURL)、Wget、Chrome(Browser)、Uri(.NET)、URL(Java)、URI(Java)、parse_url(PHP)、url(NodeJS)、url-parse(NodeJS)、net/url(Go)、uri(Ruby)和URI(Perl)。

他们在这些库解析组件的形势中发现了五类不一致：

足球彩票app官网下载 Scheme混浊：触及丢失或Scheme步地很是的URL的混浊 斜杠混浊：包含不端正斜杠数目的URL混浊 反斜杠混浊：触及包含反斜杠(\)的URL混浊 URL编码数据混浊：触及包含URL编码数据的URL混浊 Scheme Mix-ups：触及在莫得特定Scheme解析器的情况下解析属于某个Scheme的URL混浊

凭据进展，问题在于，由于两个主要的Web应用法子成立错误，这些不一致可能会产生易受攻击的代码块：

皇冠体育

使用多个解析器：无论是出于瞎想也曾执意，成立东说念主员偶然会在面目中使用多个URL解析库。由于某些库可能会以不同形势解析相通的URL，因此可能会在代码中引入错误。 表率不兼容：不同的解析库是凭据不同的Web表率或URL表率编写的，这在瞎想上形成了不一致，这也会导致错误，因为成立东说念主员可能不熟识URL表率之间的互异过火含义(举例，应该检查或清算的内容)。

行为信得过攻击场景的示例，斜线混浊可能导致就业器端苦求伪造(SSRF)错误，这可用于达成RCE。商讨东说念主员讲解说，不同的库以不同的形势解决斜杠数目提升频频数目的URL(举例https:///www.google.com)：其中一些会忽略浪掷的斜杠，而另一些则将URL讲解为莫得主机。

关于前者(大深广当代浏览器和cURL齐遴荐这种方法)，摄取步地很是、斜杠数目不正确的URL可能导致SSRF，商讨东说念主员讲解说：“[不]忽略特地斜杠的库......将解析这个[步地很是]URL行为具有空权限(netloc)的URL，因此通过了对netloc(在本例中为空字符串)与google.com进行相比的安全检查。然则，由于cURL忽略了浪掷的斜杠，因此它将得到URL从而绕过尝试的考证，并导致SSRF错误。”

将简牍泡在蒸馏水中，用软毛笔轻轻蘸洗，再一一测量尺寸、记录、编号和绑线，接着开始脱色、脱水、包装……刚从外地考古现场回来，方北松又第一时间坐在了修复台前。

凭据Claroty的说法，URL混浊亦然绕过Log4Shell补丁的原因，因为在JNDI查找经由中使用了两种不同的URL解析器：一个解析用具于考证URL，另一个解析用具于得到URL。

商讨东说念主员讲解说：“凭据每个解析器解决URL的片断部分(#)的不同，权限也会发生变化。”“为了考证URL的主机是否被允许，Java的URI被使用，它解析URL、索取主机，并检查主机是否在允许主机的白名单中。事实上，如果咱们使用Java的URI解析这个URL，咱们会发现URL的主机号是127.0.0.1，它包含在白名单中。然则，在某些操作系统(主如若macOS)和特定建设上，当JNDI查找程度得到此URL时，它不会尝试从127.0.0.1得到它，而是向127.0.0.1#.evilhost.com发出苦求。这意味着天然此坏心负载将绕过AllowedDaPost localhost考证(由URI解析器完成)，但它仍将尝试从汉典位置得到类。”

URL解析安全错误

在他们的分析中，商讨东说念主员在第三方Web应用法子中发现了八个由URL解析混浊导致的高危错误。他们说，除了在不受相沿的Flask版块中发现的那些以外，通盘这些齐已被修补，因此成立东说念主员应该使用更新的版块更新他们的应用法子：

1. Flask-security敞开重定向(Python，CVE-2021-23385)

2. Flask-security-too敞开重定向(Python，CVE-2021-32618)

皇冠炸金花

3. Flask-User敞开重定向(Python，CVE-2021-23401)

博彩平台免费注册宝马线上娱乐城

4. Flask-unchained敞开重定向(Python，CVE-2021-23393)

5. Belledonne的SIP堆栈空指针辗转援用(DoS)(C，CVE-2021-33056)

6. Video.js跨站剧本(XSS)(JavaScript，CVE-2021-23414)

7. Nagios XI敞开重定向(PHP，CVE-2021-37352)

8. Clearance敞开重定向(Ruby，CVE-2021-23435)

手机赌博

皇冠客服飞机：@seo3687

敞开重定向错误很容易被期骗，因为它们不错进行糊弄、汇聚垂钓和中间东说念主攻击(MITM)。当Web应用法子摄取用户扬弃的输入，该输入指定用户在特定操作后将被重定向到的URL时，就会发生这种情况。举例，当用户登录网站时，他们可能会被重定向到坏心网站。

商讨东说念主员讲解说，敞开式重定向攻击频频通过考证来膺惩：“Web就业器考证给定的URL，况且只允许属于归拢站点或受信任域列表的URL。”

URL库混浊会侵略正确的考证，就像Clearance错误同样。商讨东说念主员指出，Clearance(Ruby的Rails框架中一个粗莽应用的第三方插件，不错达成通俗安全的电子邮件和密码身份考证)中的易受攻击的函数是“return_to”。此函数在登录/刊出经由之后调用，况且应该将用户安全地重定向到他们之前苦求的页面。然则，如果不错劝服谋划单击具有以下语法的URL，则可将其碎裂：http://www.victim.com/////evil.com。

商讨东说念主员讲解说：“由于Rails忽略了URL中的多个斜杠，因此旅途段将完满到达Clearance(/////evil.com)并在其进行解析。”“由于URI.parse删除了两个斜杠，因此生成的URL是///evil.com。每当就业器将用户重定向到此URL///evil.com时，浏览器齐会将此汇聚旅途相对援用诊疗为指向evil.com域(主机)的完全http://evil.com URL。”

最近，一位体育明星赛场惨遭重伤，不仅们感到心疼，引起全球媒体关注报道。如何防范预防损伤已经成为全球爱好者们共同关注话题。想要了解关于损伤预防治疗热门话题新闻，不妨加入皇冠博彩平台，全球爱好者一起分享探讨。 Belledonne VoIP崩溃

在Belledonne的Linphone中发现了一个更真理的错误，这是一个免费的IP语音软电话、SIP客户端和用于音频和视频通话的就业。凭据分析，由于它解决SIP音问解析的形势，它遇到了scheme混浊。

商讨东说念主员讲解说：“通过商讨Belledone的URL解析功能，咱们发现[a]段代码解析了to/from SIP header中的SIP URL。”“Belledone将SIP URL解析为通用URL，并使用strcasecmp检查决策是SIP也曾SIP，以及给定的URL是否为SIP URL。”

关联词，他们讲解说，Belledonne generic_uri摄取由不同URL组件创建的URL，而不需要存在特定组件。

www.crowndice888.com

他们追念说：“这意味着仅包含旅途而莫得URL scheme的URL是有用的URL。”“通过此方法，咱们提供了一个只包含一个斜杠(/)的URL，导致URL的决策恶果为NULL。然后，当Belledone使用strcasecmp时，它会相比一个NULL指针(因为莫得提供scheme)，从而导致NULL指针取消援用和应用法子崩溃。”

该团队创建了一个意见考证错误期骗代码，该代码或者通过通俗的坏心VoIP呼唤来使任何汉典用户的应用法子崩溃，“条款受攻击用户的零交互”。

Team82和Synk商讨东说念主员指出，“可能会出现很多错误，从可能导致汉典代码执行的SSRF错误到可能导致复杂汇聚垂钓攻击的敞开重定向错误。”他们说，为了保护他们的应用法子，成立东说念主员应遴荐以下法度：

使用尽可能少的解析器。商讨东说念主员说：“咱们提议您完全幸免使用URL解析器，而且一般情况下这是很容易达成。”

ug环球

在microservice环境中传输解析的URL。他们指出：“如果microservice是在不同的框架或编程言语中达成，他们可能会使用不同的URL解析器。”“为了幸免这个问题，你不错通俗地在前端microservice中解析URL，并以解析后的步地进一步传输它。”

了解与应用法子业务逻辑关联的解析器的互异。偶然无法幸免使用多个解析器，因此成立东说念主员需要驻扎解析行动的互异。

在解析之前恒久表率化URL。恒久确保应用法子删除多个正向/反向斜杠、空格和扬弃字符，以便在解析之前将URL还原为正确的步地。

本文翻译自：https://threatpost.com/url-parsing-bugs-dos-rce-spoofing/177493/如若转载，请注明原文地址。

皇冠球盘电脑网址

 银河GALAXY娱乐