当前位置:7303刘伯温开奖6374 > 软件操作员 >

程序员注意!某流行软件架构工具被曝漏洞黑客可轻松入侵底层操作

  该框架在当今的软件开发社区中非常流行,它允许开发人员轻松移植在HTMLElectron软件框架是一个封装在Node.js服务器端Java服务器周围的自定义API。

  在构建基于Electron的应用程序时,开发人员可以选择使用大部分Electron API的有限环境,但也可以使用Node.js API及其模块。由于Node.js项目是一个更成熟的项目,因此Node的API和内置模块提供了与底层操作系统的更深层次的集成,并允许开发人员和应用程序访问更多的操作系统功能。

  Electron团队意识到这个问题,并创建了一种机制,可以防止攻击基于Electron的应用程序攻击这些API以损害底层操作系统。

  对于只想在桌面上运行HTML和JS代码的应用程序,默认情况下会打开“nodeIntegration:false”选项,即禁止访问Node.js API和模块。在Electron应用程序中嵌入这些纯粹的基于Web的应用程序,是通过名为WebView的组件完成的。

  而这便是问题所在,Canthink研究员发现了一种机制,恶意行为者可以使用这种机制将nodeIntegration选项设置为“true”,并授予他们访问功能更强大的Node.js API和模块的权限。

  如果基于Electron的应用程序开发人员没有在应用程序的webPreferences配置文件中专门声明“webviewTag:false”选项,则攻击者可以使用Electron应用程序内部的任何世俗跨站脚本攻击(XSS)漏洞来创建一个新的WebView组件窗口,用于控制设置,并可以将nodeIngration标志设置为“true”。

  但应注意,基于电子的应用程序是打包的HTML和JS代码,这意味着找到一个利用这个漏洞的XSS应用程序并不像听起来那么困难,因为大多数Web应用程序都有这种错误。

  对此,Canthink研究员发布了概念验证代码,可使攻击者利用任何XSS漏洞并将其访问扩展到底层操作系统,“只要应用程序使用易受攻击的Electron版本(版本1.7.13,1.8.4或2.0.0-beta.3),就可以允许远程执行代码。”

  还不清楚有多少Electron应用程序容易受到此漏洞的影响,以及哪些补丁已经集成,目前此漏洞已收到CVE-的CVE标识符。

http://laurenolte.com/ruanjiancaozuoyuan/42.html
点击次数:??更新时间2019-05-17??【打印此页】??【关闭
  • Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有  
  • 点击这里给我发消息
在线交流 
客服咨询
【我们的专业】
【效果的保证】
【百度百科】
【因为有我】
【所以精彩】