标签: Black Hat

多数编程语言存在安全漏洞:或攻击其语言开发的应用程序

据外媒 12 月 10 日报道, IOActive 的高级安全顾问 Fernando Arnaboldi 于 12 月初在 2017 Black Hat 欧洲安全会议上发表了一篇有趣的研究报告:多数流行的编程语言存在严重的缺陷,可能会攻击其语言开发的任何安全应用程序。 该研究是为了探索安全开发的应用程序受到底层编程语言中未知漏洞的影响。相关人士透露,Arnaboldi 使用 fuzzing 软件测试技术分析了最流行的编程语言( JavaScript、Perl、PHP、Python 和 Ruby )。Fuzzing 或 fuzz 测试是一种自动化的软件测试技术,它包括为计算机应用程序提供无效、意外或随机的数据。获得数据后,研究人员会监视类似崩溃或失败的内置代码断言之类的异常,或者是寻找潜在的内存泄漏。据悉,Google 专家就曾使用这种技术发现了流行软件 OpenSSL 和 Linux 组件中的许多缺陷。 下面是研究人员用 fuzzing 技术测试的编程语言列表。 Arnaboldi 开发了一个定制的 “ 微分fuzzer ”  XDiFF ( 扩展差分 Fuzzing 框架),专门用于测试编程语言的结构。研究人员将 XDiFF 发布为 GitHub 上的开源项目。此外,研究人员还确定了大部分的基本功能,并使用 XDiFF fuzzer 进行了测试。在执行之前,fuzzer 通过在函数和有效载荷之间进行排列来生成所有可能的测试用例,测试用例将当时编程语言的一个功能与不同的有效载荷结合在一起,以便于暴露编程语言中的漏洞。 Arnaboldi 表示,漏洞的发现完全取决于能否选择正确的输入。在这个测试中,使用了少于30个原始值(比如数字,字母等)与特殊有效载荷相结合,并且定义这些特殊的有效载荷,以便于帮助识别软件何时访问外部资源。 Arnaboldi 用 fuzzer 分析了所有编程语言中的严重漏洞,有以下问题: ○ Python 包含可用于 OS 命令执行的无记录的方法和本地环境变量。 ○ Perl 包含一个可以像 eval()那样执行代码的类型映射函数。 ○ NodeJS 输出可以泄露部分文件内容的错误消息。 ○ JRuby 加载并执行远程代码的功能不是为远程代码执行而设计的。 ○ PHP 常量的名称可以用于用来执行远程命令。 Arnaboldi 表示,软件开发人员可能在不知情的情况下将代码包含在应用程序中,而这些代码可能以开发者没有预见到的方式使用,以至于对安全开发的应用程序构成了风险。假设这些漏洞并不是恶意造成的,那么可能是因为错误或试图简化软件开发的结果。而这个结果会影响到解释器解析的常规应用程序。因此,研究人员建议,在重要的生产环境中,应该优先排查或修复程序语言解释器的安全隐患。 消息来源: Security Affairs ,编译:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Black Hat 2017 议题 :辐射监控设备存在多处关键漏洞

据外媒 7 月 28 日报道,信息安全公司 IO Active 研究人员近期于拉斯维加斯 Black Hat 大会上首次披露 Ludum、Mirion 与 Digi 辐射监控设备存在多处未修补漏洞,允许黑客破坏、延迟或混淆放射性物质检测,危及公民人身安全或有助黑客偷运放射性物质。 调查显示,以下监控设备存在关键漏洞: ○ Ludlum 53 Gamma Personnel Portal Monitor:该设备部分漏洞包括最高权限硬编码密码,允许黑客通过反向工程识别系统二进制文件、检测任意方向辐射来源。此外,黑客还可利用后门程序绕过系统认证并控制 RPM 禁用相应警报。 ○ Ludlum Gate Monitor Model 4525:该设备用于检测港口货物中的放射性物质,其主要配置与安全性能存在关键漏洞,允许黑客进行 MiTM(中间人)攻击。另外,Gate Monitor 在使用端口 20034 / UDP 与端口 23 / TCP 等协议时,未进行任何加密措施,导致黑客可以任意拦截数据包、伪造信息或禁用警报。 ○ Mirion WRM2 Transmitters:WRM2 设备软件由 .Net 与 Java 编写,并使用 OEM XBee S3B 无线收发器接收数据,从而泄露加密文件 XCS-Pro 与 S3B-XSC 算法,允许黑客修改或创建恶意固件。 ○ Digi XBee-PRO XSC 900、Xbee S3B (OEM):Digi 设备漏洞允许黑客绕过 XBee AT 命令处理、OEM 网络用户身份只读保护,以及发送接收任何 XBee 网络数据。在这种情况下,黑客还可通过干扰发送 WRM2 兼容设备帧拦截数据或向 NPP 系统发送伪造数据,从而错误解读辐射泄漏或创建拒绝服务攻击。 目前,虽然 Ludlum 证实监控设备存在安全漏洞,但当前技术水平暂时无法提供补丁修复。此外,Mirion 也承认漏洞将会影响监控系统设施,现正在积极与 Digi 合作解决问题。 详细报告内容请阅读:《Go Nuclear: Breaking Radiation Monitoring Devices》 原作者:Stuart Peck,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。