立即更新网络刮beplay体育能用吗擦工具
安全研究人员发现了Web刮擦工具废料中的脆弱性,该漏洞利用Telnet服务访问本地网络和Localhost。beplay体育能用吗
Alertot首席执行官Claudio Salazar表示,该问题影响于今年1月推出的废品<1.5.2。
它包括默认情况下启用的telnet服务,旨在使调试更容易。
因此,Telnet服务不仅限于一组功能;取而代之的是,Telnet控制台在蜘蛛的上下文中提供了Python外壳。
Salazar说,这“使其可以进行调试和有趣的话,如果有人可以访问它”。
由于该控制台无需任何身份验证,因此可向任何本地用户开放。而且,如果有蜘蛛运行,则可以定义反向外壳以访问机器。
不过,更令人担忧的是,由于允许蜘蛛被爬行的允许域,也可以远程利用脆弱性。
萨拉萨尔解释说:“当有允许域中的页面请求但将其重定向到不允许的域时,就会发生一种有趣的行为,因为它不会被过滤并将被蜘蛛处理。”博客文章。
“滥用允许的domains行为,恶意演员可以这样做,以至于蜘蛛将请求发送到其感兴趣的领域。”
萨拉萨(Salazar)称之为潜在的攻击“蜘蛛侧请求伪造” - 服务器侧请求伪造。
“这是非常重要的,因为废纸蜘蛛是客户端软件,它们应该从网站上提取数据,但反之亦然。beplay体育能用吗这引起了人们对运行此类软件以及如何安全执行的新担忧。”他告诉每日swbeplay2018官网ig。
“还有其他编程语言中的beplay体育能用吗网络刮擦项目,它们可能会遇到类似的问题,以损害运行该软件的用户。这是我们今年研究的一部分 - 这仅仅是开始。”
Salazar建议更新废弃1.5.2或更高版本,并禁用Telnet服务,除非确实有必要。
他补充说:“作为建议,您应该在容器中运行蜘蛛,以避免受到恶意网站的影响。”beplay体育能用吗
缓解风险
EMEA在Trustwave的EMEA主任Ed Williams说,他对这一消息并不感到惊讶。
他告诉他说:“建议始终是减少攻击面并确保您运行最新的,稳定的软件版本。”每日swbeplay2018官网ig。
“令人担忧的是,我们仍在看到telnet被使用 - 作为一个社区,我们应该立即将对'亲爱的旧telnet'提及的地方立即理解为不良习惯并被删除。
“可悲的是,我不相信我们还在那里,我们继续看到安全问题随之而来。”
F-Secure Labs的首席研究员Jarno Niemela提供了一些有关如何防止网络蜘蛛漏洞的建议。beplay体育能用吗
他说每日swbeplay2018官网ig:“能够接管网络蜘蛛组件非常重要,尤其是许多公司在其服务器beplay体育能用吗后端基本上没有内部安全性。
“需要做的是与处理外部内容的组件一起工作时应始终进行的。盒子内外隔离。
“处理内部代码的任何组件都应在安全容器中运行。例如,配置良好的Docker容器或SE-Linux硬化VM。
“此外,进行输入获取和处理的服务器或VM应该非常限制它可以执行的连接以及它可以连接到何处。”
