这五种编程语言都有暴露应用程序攻击的漏洞

即使是使用安全开发程序构建的软件也可能容易受到攻击, 这是由于它们所依赖的解释的编程语言存在缺陷。

IOActive的研究员Fernando Arnaboldi在黑帽欧洲会议上透露,五种流行的编程语言的解释器存在严重缺陷,这使得应用程序面临风险。

Arnaboldi发现,例如,Python有“可以用于OS命令执行的未公开的方法和本地环境变量”。

NodeJS是一个JavaScript解释器,同时可以通过输出的错误消息来泄漏文件内容,而JRuby是Ruby的Java实现,“在不是为远程代码执行而设计的函数上加载和执行远程代码”。

对Perl来说,Arnaboldi引用了它的typemaps函数的能力,包括在默认的一组模块中,来执行代码。 在PHP中,某些本地函数可以传递一个常量的名字来执行远程命令执行。

他认为这些漏洞可能是由于试图简化软件开发而造成的。

这些语言漏洞被怀疑是由于试图简化软件开发而造成的

“这些漏洞最终会影响到受影响的解释器的正常应用程序;然而,这些修补程序应该应用于解释器。”他说。

对于被解释的编程语言的漏洞, 软件开发人员可能不知不觉地将代码包含在应用程序中, 这种方法可以用设计器没有预见到的方式来使用。Arnaboldi 写道: "这些行为中的一些会给应用程序安全带来风险, 而这些应用是根据指导原则开发的。

研究人员利用XDiFF(一种“差别化的模糊”)发现了这些缺陷,并针对不同的语言进行了几个解释。

对于JavaScript,目标包括Google的v8 JavaScript引擎,以及微软的ChakraCore等价物,Mozilla的SpiderMonkey,NodeJS和Node-ChakraCore。

在PHP中,他使用了PHP和HHVM,而Ruby的目标包括Ruby和JRuby。他还使用了Perl、ActivePerl、CPython、PyPy和Jython。

正如他之前指出的那样,研究表明,当使用编程语言的某些特性时,应用程序可能会受到安全问题的影响。

Aranboldi写道:“在可能影响安全应用程序的不同实现中有许多可能被滥用。在JavaScript、Perl、PHP、Python和Ruby中,解释的编程语言对代码进行解析时,出现了一些意想不到的情况。”

更多阅读

“欢乐圣诞”“喜迎元旦”课课家“双旦”活动火爆来袭!

课课家云数据中心网络技术与设计视频课程

课课家 2018年软考软件设计师历年案例分析真题详析视频课程

本文来自企鹅号 - 课课家媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安智客

Frequently Asked Questions on seL4

形式化验证是近年来安全操作系统发展的热门!seL4在其官网上打出的口号就是:安全不是表现不佳的借口!

20750
来自专栏服务端技术杂谈

架构细节 | 看看 Medium 的开发团队用了哪些技术?

image.png 说到底,Medium是个社交网络,人们可以在这里分享有意思的故事和想法。据统计,目前累积的用户阅读时间已经超过14亿分钟,合两千六百年。 ...

43760
来自专栏北京马哥教育

计算机浅谈及Linux简谈

一、计算机浅谈: 电子计算机(英语:computer),亦称电脑,是一种利用电子学原理,根据一系列指令对数据进行处理的工具。 在现代,机械计算机的应用已经完全被...

41660
来自专栏牛客网

阿里Android客户端一面经历

猝不及防的空降,表示电影刚开场、等了两个星期的一面应该是简历面吧,终于打过来了。讲道理并不敢拒面,天知道下次什么时候打过来。

9410
来自专栏JackieZheng

Nodejs学习笔记(一)——初识Nodejs

前言:目前工作的分内之事相对较为单一,希望可以通过工作之余的时间给自己充充电,只是没有一个学伴或大神带,只能说是摸索着前进。起初准备好好研究下Spring这个框...

37370
来自专栏云计算D1net

谷歌云平台加入对更多微软产品的支持

谷歌正在向Google Cloud Platform(谷歌云平台)的用户提供更多可用的微软软件。 谷歌在12月8日宣布,将允许客户在谷歌云平台上运行Window...

37170
来自专栏数据小魔方

ggplot2又添新神器——ggthemr助你制作惊艳美图

今天在浏览ggplot扩展插件目录的时候,又发现了一款神器——ggthemr。 这是继ggplot的ggtheme包、RColorBrewer包之后(不算ggt...

36050
来自专栏Android 开发者

Android P 开发者预览版首发!

25120
来自专栏腾讯Bugly的专栏

《广研Android卡顿监控系统》

实现背景 应用的使用流畅度,是衡量用户体验的重要标准之一。Android 由于机型配置和系统的不同,项目复杂App场景丰富,代码多人参与迭代历史较久,代码可能会...

1.2K40
来自专栏企鹅号快讯

这篇SEO干货讲的不错!不来看看?

作为一个网络推广从业者,SEO一直是我笔者勤学苦练的绝技,可是,找了很多资料,就没有一个干货是讲真话的,但是,功夫不负有心人,总算让我找到了,好了,送给需要了解...

26150

扫码关注云+社区

领取腾讯云代金券