研究人员利用供应链攻击入侵 35 家科技公司
互联网 / houtizong 发布于 3年前 49
一位安全研究员设法利用一种新颖的软件供应链攻击入侵了 35 家大型科技公司的内部系统,这些公司包括了 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber。这次攻击利用了开源生态系统的一个设计缺陷:依赖关系混乱。Alex Birsan 注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包,他想知道如果他创建一个同名的公开的 npm 包,那么软件在构建时是优先使用私有的还是公开的版本?为了测试这一假说,他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目,每个项目都包括了相同的说明,解释软件包不包含任何有用的代码,只是用于安全研究目的。他发现,公开的软件包会比私有的软件包优先度更高;某些情况下版本更高的软件包优先度更高,无论私有还是公开。利用这一方法,他成功入侵了多家知名科技公司,获得了超过 13 万美元的漏洞报告奖励。
上一篇:为什么大象很少罹患癌症
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
技术博客集 - 网站简介:
前后端技术:
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成
网站主要作用:
1.编程技术分享及讨论交流,内置聊天系统;
2.测试交流框架问题,比如:Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识,如有侵权请发邮件到站长邮箱,站长会尽快处理;
4.站长邮箱:[email protected];
文章归档
文章标签
友情链接
