这是新robots.txt,警告NCC
更新滥用Apple的App-Site协会标准有可能泄漏Web应用程序路线和其他敏感信息,NCC警告的安全研究人员。beplay体育能用吗
该行为意味着应用程序站点关联可能是泄露可能用于枚举目标站点的黑客的信息。
beplay体育能用吗因此,Web和App开发人员因此要检查它们不会在公开访问的资源中发布任何敏感,例如应用程序的内部URL。
研究人员说,由于不知道开发人员而不是技术的固有问题,因此出现了这个问题。
一种博客文章由NCC的Tanner Prynn将Apple的App-Site Association标准与robots.txt.自网站开始以来几乎存在的功能。beplay体育能用吗
应用程序站点关联需要网站托管文件beplay体育能用吗.well-Apple-App-Site-Accioction。此文件包含有关Web应用程序路由的数据beplay体育能用吗robots.txt.。
信任但要验证
Apple的技术允许用户将其IOS应用程序链接到域中,以支持功能等功能,例如共享由同一组织开发的多个IOS应用程序之间的用户凭据。
iOS需要在iOS应用程序和域之间进行双向信任,以便设置此类关联。
“在运行时,用户的设备达到配置的域,该域必须响应包含允许的应用标识符和URL在相应的应用程序中打开的JSON BLOB,”Prynn解释说。“这个json blob必须在硬编码的路线托管/.well-known/apple-app-site-association.。“
“结果,几乎所有具有相应IOS应用程序的站点都会托管此可公开访问的文件列表,其中列出了在移动应用程序中应打开的站点URL,”他添加。
应用该技术可能导致无意中信息披露令人不快。
“此文件指定应用程序以及数十个URL,应该或不应该打开 - 以非常相似的方式到达旧的robots.txt.,“普宁写道。
“特别是在黑匣子测试或错误赏金工作中,此文件可以帮助测试人员查找隐藏的路由或构建单词列表以进行进一步测试。在许多网站上,该文件还包含内部和企业应用程序的应用标识符和URL列表,进一步扩展了披露的信息量。“
回应后续问题每日SWbeplay2018官网IG.,Prynn将Apple的App-Site Associations(AASA)扣除,只能更容易找到问题而不是创造新的问题。
“如果存在问题,它(几乎)始终将在Web应用程序的某些路由或功能中,开发人员打算隐藏/混淆,”他解释说明。beplay体育能用吗“但无论AASA如何,都存在这种功能;AASA只是让它更容易,更快地找到。“
Apple的技术仍然为笔测试仪和钢笔测试人员创造了新鲜的途径BUG赏金猎人。普宁建议黑客忘记robots.txt.并开始检查.well-Apple-App-Site-Accioction有关问题。
这个故事于4月16日星期二更新,从NCC研究人员Tanner Prynn添加评论
