Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях" | +/– | |
Сообщение от opennews (??), 14-Окт-22, 12:24 | ||
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (1), 14-Окт-22, 12:24 | ||
Осталось узнать как техникой перебора узнать какие пакеты есть в приватном репозитории. | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (2), 14-Окт-22, 12:26 | ||
> сервер возвращает ошибку с кодом "404" | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (-), 14-Окт-22, 18:40 | ||
Не знаю. | ||
Ответить | Правка | Наверх | Cообщить модератору |
46. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | –1 +/– | |
Сообщение от Аноним (46), 15-Окт-22, 01:51 | ||
https://registry.npmjs.org/ | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
3. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (3), 14-Окт-22, 12:28 | ||
>Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (11), 14-Окт-22, 13:40 | ||
Задержка - это ещё ладно. Главное - в другом: | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +1 +/– | |
Сообщение от Адмирал Майкл Роджерс (?), 14-Окт-22, 16:40 | ||
> Это кто же заказал её? | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | –2 +/– | |
Сообщение от Бывалый смузихлёб (?), 14-Окт-22, 17:29 | ||
Если какой-то балда додумался ссылаться к собственным пакетам просто по именам, то очевидно что система будет по возможности лезть в сеть и тянуть последнюю актуальную версию где бы та ни находилась если в правилах к пакету указано "тянуть свежайшую версию" | ||
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору |
29. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +2 +/– | |
Сообщение от Аноним (11), 14-Окт-22, 17:32 | ||
> очевидно что система будет по возможности лезть в сеть | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Бывалый смузихлёб (?), 15-Окт-22, 08:18 | ||
Итак, есть система, заточенная на работу с глобальным репозиторием в первую очередь | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (11), 18-Окт-22, 05:32 | ||
А потом удивляемся дырам из-за таких смузихлёбов. Дыры by design. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | –3 +/– | |
Сообщение от Аноним (3), 14-Окт-22, 12:39 | ||
>GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки, сославшись на архитектурные ограничения. | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (3), 14-Окт-22, 12:42 | ||
>Вообще очень непросто защититься от такого. | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (3), 14-Окт-22, 12:44 | ||
Кто-нибудь, запилите фичу для популярных баз. | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (34), 14-Окт-22, 18:29 | ||
Thread.Sleep(Math.Random(500)); | ||
Ответить | Правка | Наверх | Cообщить модератору |
41. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +1 +/– | |
Сообщение от Аноним (3), 14-Окт-22, 20:04 | ||
Thread.Sleep(4); // chosen by fair dice roll, guaranteed to be random | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +1 +/– | |
Сообщение от Аноним (11), 14-Окт-22, 13:43 | ||
Очень просто: поменять приоритет публичных и локальных репов. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
40. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (3), 14-Окт-22, 20:02 | ||
Проблема в том, что само название пакета и его существование может быть коммерческой тайной. | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (50), 15-Окт-22, 10:43 | ||
>Вообще очень непросто защититься от такого | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
10. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (10), 14-Окт-22, 13:38 | ||
Просто комитить зависимости | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (14), 14-Окт-22, 14:16 | ||
Надо просто взять все популярные имена зависимостей и разместить, да и все, зачем все выяснять? :) Раз оно такое тупое, что вытянет самое новое откуда угодно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (17), 14-Окт-22, 14:52 | ||
Он упадет если нет депендесни. Надо сначала проверить. | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (27), 14-Окт-22, 16:57 | ||
Но ведь сначала должны проверяться права доступа. Как тогда доходит до проверки наличия или отсутствия файлов? 🤔 | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (11), 14-Окт-22, 17:34 | ||
они всё наоборот делают. | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от Аноним (32), 14-Окт-22, 18:04 | ||
> В NPM выявлена недоработка... | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +1 +/– | |
Сообщение от AKTEON (?), 14-Окт-22, 18:11 | ||
А может быть просто не надо тянуть свежие версии из публичных репозиториев без аудита ?? | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | –1 +/– | |
Сообщение от Igraine (ok), 14-Окт-22, 19:27 | ||
В npm можно свой user-scope или organization-scope создать тогда никто не сможет загрузить пакеты с вашим именем. | ||
Ответить | Правка | Наверх | Cообщить модератору |
39. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от pashev.ru (?), 14-Окт-22, 19:38 | ||
Какое дело честному человеку до левых репозиториев? | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +1 +/– | |
Сообщение от Аноним (42), 14-Окт-22, 21:15 | ||
Какое дело честному человеку до репозиториев? | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Атака на NPM, позволяющая определить наличие пакетов в прива..." | +/– | |
Сообщение от darkshvein (ok), 14-Окт-22, 23:33 | ||
нет NPM, нет и атак | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |