DevOps实用程序中的“严重”缺陷可能允许数据或用户凭据删除
输入消毒错误使恶意演员上场反映的跨站点脚本((XSS)安全研究人员发现了针对GraphQL操场IDE的攻击。
该错误在本周早些时候进行了修补,影响了所有版本的操场。
Playground是一种基于Wbeplay体育能用吗eb的集成开发环境(IDE),使开发人员能够为GraphQl创建对象,查询和模式,这是一种灵活的查询语言,允许Web应用程序与后端数据存储进行交互。
游乐场的脆弱组件,其中包括六个软件包,并未对用户输入进行消毒,允许攻击者将恶意代码嵌入到URL参数,查询参数和未经工具的数据库文本字符串等请求中。
这脆弱性仅应用于接受用户输入的动态组件。
“这些项目每周下载500k-750k,” GraphQl Playground的首席维护者Rikki Schulte告诉每日swbeplay2018官网ig。
“大多数实施都是稳定的,但事实证明,有很多面向公共的平台和实现这种脆弱性。”
API凭证受到威胁
在公告在GraphQL Playground GitHub存储库上,项目开发人员说:“这是一个严重的漏洞,可以允许数据或用户凭据剥落或破坏系统。
“最大的威胁可能是API凭据。你可以看到示例利用这一点是多么容易。”舒尔特说。
尽管没有证据表明该错误已在野外被剥削,但Shculte确认:“攻击者不太可能使用社会工程来获得多年的安全凭据。”
开发人员应升级到本周早些时候发布的最新版本的Playground,并修补了该错误。
同时,根据经验,建议开发人员使用XSSpurify和Dompurify之类的库来消毒不信任的用户输入,并防止在任何库中对未知XSS错误的开发。
