此后已解决问题
Netlify中的脆弱性可以使攻击者达到持久性跨站脚本(XSS)或任何支持网站上的全响应服务器端请求伪造。beplay体育能用吗
Netlify是一个网络开beplay体育能用吗发平台,还为网站提供托管和无服务器的后端服务。
研究人员发现Netlify对XSS攻击由于缓存中毒脆弱性。
安全漏洞,被跟踪为CVE-2022-39239,允许攻击者通过发送专门制作的标头来绕过源图像域允许列表,从而导致处理程序加载并返回任意图像。
由于响应是在全球范围内缓存的,因此图像将被送给访问者,而无需设置这些标题。
因此,攻击者可以通过要求使用嵌入式脚本的恶意SVG文件来实现XSS,然后将其从站点域提供。
这Github咨询说明:“请注意,这不适用于加载的图像标签,因为脚本在此上下文中不执行。
它补充说:“图像URL可以独立于请求URL设置在标题中,这意味着任何以前没有缓存的站点图像都可以使其缓存中毒。”
URL解析危险
一个博客文章参与该发现的研究人员之一Sam Curry解释说,该错误影响了多个网站,包括Gemini,Pancakeswap,DocuSign,Moonpay和Celo。beplay体育能用吗
库里写道:“有可能实现跨站点脚本和服务器端请求伪造在任何运行的网beplay体育能用吗站上@netlify/ipx”图书馆如果开发人员在配置文件中添加了一个白色的主机,则由于URL在“UNJS/UFO“ 图书馆。
“这可能会在大量网站上滥用,因为beplay体育能用吗/_ipx/“在许多NetLify安装上(默认情况下)安装了路线。”
该问题于2022年8月24日报道,两天后在版本1.2.3中进行了修补。
“由于CDN [内容输送网络]现在对相关标头进行了消毒,因此不再在Netlify上利用该问题。可以通过重新部署网站来清除缓存的内容。”咨询说。
可以在Curry的写作中找到更多技术细节。
每日swbeplay2018官网ig已接触到咖喱以进行进一步评论,并将相应地更新本文。
