解析包裹
流行的Web服务beplay体育能用吗器API框架解析平台本质上容易受到多种安全性漏洞,安全研究员本·希尔德警告。
Parse是一个类似于Firebase的框架,它使开发人员可以快速,轻松地创建后端API并将其与其iOS和Android应用程序集成在一起。
“不幸的是,解析服务器的默认配置使用户数据完全公开,” HeaLD告诉每日swbeplay2018官网ig。“其他漏洞还包括默认的无限制文件上传。”
HealD扫描了1,000个最受欢迎的Android应用程序后,Heald估计使用Parse平台建造的应用程序约有6300万用户。
普遍脆弱?
“我还没有找到一个实例移动的申请是用解析而不是脆弱的,” Heald告诉每日swbeplay2018官网ig。
Heald公开了他的发现技术博客文章上周。据Heald称,七个未命名的约会,社交媒体,生产力和手机游戏应用程序都很容易受到伤害,因为它们依赖于解析平台。
安全研究人员已私下通过电子邮件发送了受影响的供应商来提升他的担忧,并建议对他确定的各种阅读访问和文件上传风险进行修复。
Heald告诉Heald说:“其中最大的是一个拥有5500万用户的移动游戏平台,一直与我联系,并且正在修复其脆弱的应用程序。”每日swbeplay2018官网ig。“不幸的是,没有其他申请回复我的警告。”
推荐的Github的Nico Waisman:“安全不仅是机会,而且是对我们的责任”
类别详细介绍的类级和对象级访问权限的适当实现解析文档根据HealD的说法,,允许开发人员减轻大多数此类漏洞。
他警告说:“不幸的是,为了实施对不受限制的文件上传漏洞的缓解,将需要实施一个更复杂的修复程序。”
每日swbeplay2018官网ig寻求Parse Platform开发人员对这些发现的评论,但我们尚未收到实质性回应。
希尔德说,他会通过github一段时间以来,他的最新发现公开了。
过去不完美
安全研究人员在第一次在财富500号互联网公司的公众中首次遇到后,被提示更深入地研究解析错误赏金他解释说,计划。
Heald表示,他能够在该公司创建的社交媒体应用程序中利用许多安全问题,该公司后来发现,他后来发现“解析平台的设计固有”。
他告诉他说:“我能够报告报告中概述的几个问题,在调查后,我发现这些问题是解析开发人员的故意设计决策。”每日swbeplay2018官网ig。
在发现了几个安全问题之后,HealD将其报告给该计划,然后发现这些问题是Parse平台本身的系统性问题。
“期间新冠肺炎锁定我终于有时间研究了脆弱的解析实例,因此进行了这项研究。”
“多年来,许多人在Github上提出了有关解析安全性的问题,但开发商每次都驳回了他们。”
安全研究人员列举了开发人员关于问题的回答匿名文件上传以及通过github进行单独的错误报告访问控件作为支持他批评的证据。
Parse于2011年作为一项付费服务创建,该服务最终在2017年被Facebook收购后关闭。从那时起,Parse平台一直是Node/Express的开源“ Parse Server”模块。
