可用-黑客

新 ParseThru 走私漏洞影响基于 Golang 的应用程序

  • 浏览次数 10499
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

golang

安全研究人员发现了一个名为ParseThru的新漏洞,该漏洞会影响基于Golang的应用程序,这些应用程序可能会被滥用以未经授权访问基于云的应用程序。

以色列网络安全公司Oxeye在与The Hacker News分享的一份报告中表示:“由于使用了该语言内置的不安全URL解析方法,新发现的漏洞允许黑客在某些情况下绕过验证。”

这个问题的核心在于,与引入Golang的URL解析逻辑(在“net/url”库中实现)的更改导致的不一致有关。

虽然1.17之前的编程语言版本将分号视为有效的查询分隔符(例如,example.com?a=1;b=2&c=3),但此行为已被修改为在找到包含分号的查询字符串时引发错误。

微信截图_20220803162829

现在,带有非百分比编码分号的设置将被拒绝,在请求URL中遇到警告时,net/http服务器将向‘Server.ErrorLog’记录警告。

微信截图_20220803162934

当构建在版本1.17或更高版本上的基于Golang的公共API与运行早期版本的后端服务进行通信时,就会出现问题,从而导致黑客可以走私包含查询参数的请求,否则这些请求将被拒绝。

简而言之,这个想法是发送在查询字符串中包含分号的特制请求,面向Golang API的用户会忽略该请求,但内部服务会处理它。

Oxeye表示,它在Harbor、Traefik和Skipper等开源项目中发现了几个ParseThru实例,这使得绕过现有的验证并执行未经授权的操作成为可能。在向各供应商披露后,这些问题已得到解决。

这不是URL解析第一次引起安全问题。今年1月初,Claroty和Snyk披露了用C、JavaScript、PHP、Python和Ruby语言编写的第三方库中多达八个漏洞,这些漏洞源于URL解析中的混乱。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文