日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
TrojanSource:源碼漏洞隱藏技術(shù)分析

研究人員發(fā)現(xiàn)可在源碼中隱藏惡意代碼的漏洞。

我們提供的服務(wù)有:成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、寧陜ssl等。為1000多家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢(xún)和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的寧陜網(wǎng)站制作公司

濫用文本編碼標(biāo)準(zhǔn)

英國(guó)劍橋大學(xué)研究人員Nicholas Boucher和Ross Anderson發(fā)現(xiàn)了一種可以在源碼中隱藏漏洞的新方法——Trojan Source。與傳統(tǒng)的插入邏輯漏洞相比,研究人員發(fā)現(xiàn)可以通過(guò)攻擊源碼文件的編碼方式來(lái)注入漏洞。Trojan Source攻擊對(duì)軟件和供應(yīng)鏈來(lái)說(shuō)是巨大的威脅。

研究人員發(fā)現(xiàn)用C、C++、C#、JavaScript、Java、Rust、Go和Python編寫(xiě)的項(xiàng)目都可能會(huì)成為攻擊者的目標(biāo)。具體的方式就是使用Unicode控制字符來(lái)對(duì)源碼中的token進(jìn)行在編碼層進(jìn)行重新排序。攻擊利用Unicode這樣的文本編碼標(biāo)準(zhǔn)中的微小差異(變化)來(lái)生成源碼,將token邏輯嵌入到不同的順序中,使得漏洞無(wú)法被人類(lèi)觀察者感知到。

通過(guò)利用嵌入在注釋和字符串中的控制字符,攻擊者可以對(duì)源碼邏輯進(jìn)行重新排序以實(shí)現(xiàn)新的邏輯,并創(chuàng)建一個(gè)可利用的漏洞。

雙向和同形字攻擊

研究人員指出其中一種攻擊方式就是對(duì)雙向文本使用Unicode控制以表明內(nèi)容展示的方向。該方法CVE編號(hào)為CVE-2021-42574。

雙向控制LRI和RLI是不可見(jiàn)的字符。但這并不是唯一不可見(jiàn)的字符。此外,通過(guò)注入這些指令,編譯器可以編譯出與人眼看到的完全不同的代碼。

如下圖所示,通過(guò)對(duì)第二行的字符進(jìn)行RLI/LRI控制,人眼認(rèn)為其是編譯器會(huì)忽略的注釋?zhuān)聦?shí)并不是。

rojan Source攻擊——雙向控制覆寫(xiě)字符

另一種攻擊方式是同形字攻擊,CVE編號(hào)為CVE-2021-42694。即利用看著很像的不同字符,比如數(shù)字0和字母O,小寫(xiě)的l和大寫(xiě)的I。

Trojan Source 攻擊—— 同形字

PoC

研究人員對(duì)多個(gè)主流的代碼編輯器和基于web的庫(kù)進(jìn)行了Trojan Source攻擊測(cè)試,發(fā)現(xiàn)大多數(shù)受測(cè)的代碼編輯器和基于web的庫(kù)都受到Trojan Source攻擊的影響。

PoC代碼參見(jiàn):https://github.com/nickboucher/trojan-source

其他

7月25日,研究人員通知了受到Trojan Source攻擊影響的產(chǎn)品維護(hù)廠商,并設(shè)置了一個(gè)99天的漏洞修復(fù)期限。研究人員從其中5個(gè)廠商收到了平均2246美元的漏洞獎(jiǎng)勵(lì)。

雖然目前大多數(shù)編譯器是無(wú)法應(yīng)對(duì)Trojan Source攻擊的,但有3個(gè)廠商稱(chēng)正在部署針對(duì)Trojan Source攻擊的防護(hù)措施。

關(guān)于Trojan Source攻擊的論文下載地址:https://www.trojansource.codes/trojan-source.pdf

本文翻譯自:

https://www.bleepingcomputer.com/news/security/trojan-source-attack-method-can-hide-bugs-into-open-source-code/


本文標(biāo)題:TrojanSource:源碼漏洞隱藏技術(shù)分析
網(wǎng)頁(yè)地址:http://www.5511xx.com/article/cdpcsid.html