Новости Исправляйте до релиза: Path Traversal – главный враг разработчиков

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
CISA и ФБР призывают к срочным мерам по защите кода.


hfcxf2v80xv1elquw5sw2go9a1p42t0u.jpg


CISA и ФБР Для просмотра ссылки Войди или Зарегистрируйся разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути ( path traversal ) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически важные файлы, что нарушает механизмы аутентификации и приводит к удаленному выполнению кода.

Ведомства подчеркивают, что подобные действия становятся возможными из-за недостаточной защиты со стороны производителей технологий, которые не рассматривают данные, предоставляемые пользователями, как потенциально вредоносные. Указанные уязвимости могут дать хакерам доступ к конфиденциальной информации, в том числе к учетным данным, что впоследствии используется для брутфорс -атак.

Проблема усугубляется тем, что такие уязвимости уже много лет известны как «непростительные», но несмотря на это, они все еще широко распространены, что подтверждается исследованиями классов уязвимостей CWE-22 и CWE-23.

ФБР и CISA рекомендовали разработчикам принять проверенные меры предосторожности, включая:

  • генерацию случайного идентификатора для каждого файла с хранением связанных метаданных отдельно от имени файла;
  • ограничение типов символов, которые могут быть использованы в именах файлов;
  • обеспечение того, чтобы загружаемые файлы не имели прав на выполнение.

Поводом для данного предупреждения стали недавние атаки на критически важную инфраструктуру, в том числе в секторах здравоохранения и общественного здоровья, где злоумышленники использовали уязвимости перехода по каталогам для реализации своих кампаний. Например, в атаках с использованием уязвимости ScreenConnect Для просмотра ссылки Войди или Зарегистрируйся

Уязвимости перехода по каталогам заняли 8 место Для просмотра ссылки Войди или Зарегистрируйся уступая таким угрозам, как выход за пределы массива ( out-of-bounds ), межсайтовый скриптинг (cross-site scripting, XSS ) и SQL-инъекции.
 
Источник новости
www.securitylab.ru

Похожие темы