deHack.ru » Новости » Популярные языки программирования содержат множество уязвимостей. | |
На проходящей в конце 2011 года конференции Chaos Communication Congress в Германии, группа специалистов по информационной безопасности продемонстрировала ряд серьезных уязвимостей. Они затрагивают наиболее популярные языки веб-программирования. Большая часть уязвимостей связана с некорректной обработкой веб-форм и возможностями изменениями хэш-таблицы, что может привести к DOS-атаке на веб-сервер с последующей кражей конфиденциальных данных.
Среди уязвимых сред эксперты отмечают PHP, ASP.NET, Ruby, Python, Java, Apache Tomcat, Glassfish, Apache Geronimo и Jetty, в том числе открытый JavaScript-движок Google V8. В Microsoft было признано наличие уязвимости в ASP.NET и доложили о работе над устранением. Другие разработчики программного обеспечения отметили, что изучают тезисы, прозвучавшие на Chaos ComCon, и разрабатывают соответствующие заплатки.
ИТ-исследователи А.Клинк и Д.Вельде утверждают, что большинство атак базируются на принципах, впервые появившихся еще в 2002 году и получивших с тех пор большое распространение. Тогда на конференциях Usenix были продемонстрированы эксплоиты языка Perl, но с тех пор эти манипуляции по изменению хэш-инструкций и таблиц, применяются довольно часто.
Языки Java, PHP 5, и ASP.NET, а также движок V8 практически полностью беззащитны перед атаками такого рода. Языки PHP 4, Ruby, Python, частично уязвимы, причем степень уязвимости напрямую зависит от используемой 32- или 64-битная архитектуры. Вельде считает, что все серверные интерпретаторы языков программирования имеют непосредственный доступ к вычислительным ресурсам серверов, в частности к ЦПУ. В случае создания успешного злонамеренного запроса хакеры смогут перегрузить центральный процессор серверов и сделать недоступным их на несколько часов.
Читайте еще
|