严重的安全促使开发人员停止开源包
笔测试人员寻找低价虫子发现一个更严重的跨站点伪造(CSRF)开源CSURF软件中的缺陷。
来自英国网络安全公司Fortbridge的研究人员在客户要求他们审查一个渗透测试报告。标记的问题是CSRF Cookie缺少安全标志。
对这一发现感到好奇,团队开始挖掘。根据8月28日博客文章由Fortbridge Cloud组合在一起应用程序安全顾问Adrian Tiron顾问最终可以追溯到依靠CSURF的NODE.JS应用程序。
CSURF是一个旨在允许开发人员通过会议或cookie为CSRF代币创建和验证的项目。NPM软件包仍将每周下载约400,000次,即使其上次正式更新是三年前。
Tiron写道,尽管流行的软件包打算针对CSRF进行防御,但自上次版本以来,CSRF错误在代码中处于休眠状态,从而影响了使用该应用程序的任何应用程序开源包。
探索CSURF代码后,笔测试人员发现了几个问题。这些包括存储在清晰文本中的秘密_CSRF饼干;损坏的SHA-1的使用加密算法;默认情况下,缺乏对Cookie的签名检查,以及针对具有不同名称的秘密或获取/发布参数的标题令牌的验证。
此外,Tiron解释说,该代码中存在一些“怪异的行为”。例如,该应用程序将接受空的XSRF代币,并且可以从盐和秘密中创建一个令牌,从而使攻击者能够计算自己的CSRF令牌。
饼干
通过添加第二个具有相同名称的cookie并强迫应用程序通过设置特定的路径属性(在所谓的cookie折腾)中使用恶意替代方案,该团队可以将CSRF代币标题作为GET传递,并在此过程中利用该软件。
“ OSS就像商业软件可能具有漏洞,” Tiron告诉每日swbeplay2018官网ig。“依靠OSS的公司应该意识到,其背后的人通常是志愿者,而且通常没有用于安全工具或笔测试的预算。”
Fortbridge于6月2日将其发现提交给包裹开发商。一天后,该问题得到了确认,经过进一步的调查,据报道,维护者已决定将该包装标记为已弃用。
“流行的开源库是攻击者的好目标,因为它们会影响纳入它的大量应用程序,” Tiron告诉我们。“即使它是开源的,许多眼睛据说也在看它,事实是,有时缺乏安全技能,或者没有动机去寻找虫子,因为没有涉及漏洞的漏洞。”
Tiron得出结论:“我们看到的是公司在该领域非常反应性(他们只是依靠修补),我们建议他们应该更加主动并进行自己的安全检查。”
