Brisan还举了个栗子 。
加拿大电商巨头Shopify就中过招 ， 然后他们为了修复这个bug ， 特意设立了3万美元的赏金 。
无独有偶 ， 在去年8月 ， 他向npm上产了一个Node包 ， 这个包的代码被苹果内部的多台电脑中执行 。
苹果为此也设立的3万美元的奖励 ， 但当这位黑客向苹果反映“这个漏洞可能允许威胁参与者在苹果ID中注入’后门’” ， 苹果公司却不这么认为：
在运营服务中实现“后门”需要更复杂的事件序列 。


文章图片
但与此同时 ， 苹果也确实证实 ， 通过使用npm包技术 ， 苹果服务器上的远程代码执行是可以实现的 。
最后 ， Birsan奉劝大家不要随意尝试 ， 因为他研究的35家公司 ， 都有公共漏洞赏金计划或允许通过私有协议对安全性进行测试 。
如果未经公司授权 ， 请不要尝试这种测试！
大公司缘何频频中招？
看到这里 ， 或许你也会产生疑问：
为什么会发生这种情况？
大公司在面对这样的攻击时 ， 为何会如此脆弱？
Brisan表示 ， 大公司不愿意透露其在“修复”过程中的细节信息 ， 但在他与安全团队沟通过程中 ， 却发现了些有意思的事情 。
例如 ， 造成Python“依赖性混乱”的罪魁祸首 ， 似乎就是错误地使用了一个名为extra-index-url的“designbyinsecure”命令行参数 。
当同时使用这个参数和pipinstalllibrary ， 来指定你自己的包索引时 ， 虽然达到的效果和预期差不多 ， 但实际上pip在幕后做的事情是这样的：
检查指定的（内部）包索引上是否存在库 。
检查公共包索引（PyPI）中是否存在库 。
以找到的版本为准进行安装 。 如果两个版本的软件包都存在 ， 则默认从版本号较高的源码安装 。
因此 ， 若是将一个名为库9000.0.0的包上传到PyPI ， 就会导致上述例子中的依赖关系被“劫持” 。
虽然这种事情是广为人知的 ， 但若是在GitHub上搜索“extra-index-url” ， 就可以找到一些属于大型组织的易受攻击脚本——包括一个影响微软.NETCore组件的bug 。
这个漏洞可能允许在.NETCore中添加“后门” ， 但不幸的是 ， 微软并没有把这个漏洞放在“.NET错误赏金计划”的范围内 。
还会有新攻击方法
对此 ， Brisan认为 ， 虽然现在很多大型公司已经意识到了这个bug的存在 ， 也在它们的基础设施中进行了修复 ， 但还是有更多需要被发现的东西 。
具体而言 ， 他相信要是存在一种更聪明的新方法来泄露内部包名称 ， 那么将会暴露出更多更容易受到攻击的系统 。
而若是寻找替代的编程语言和存储库作为目标 ， 就会发现一些额外的“依赖性混乱”bug的攻击面 。
……
如此看来 ， 大型公司还需要在这种看似基础的漏洞上 ， 再下点功夫了 。

• 美股同样陷入结构化，100多家市值超百亿美元公司跌入技术性熊市
• 《我就是演员3》章子怡三次包揽冠军导师，蒋欣前男友成最大黑马
• 美国 SEC 已批准微软 75 亿美元收购 B 社游戏公司
• 美女穿黑色的一字肩上衣，时尚干练
• 非常凉爽，美女裙子加入了开叉的元素，很时尚
• 2021年海军发展趋向，3艘055进入部队，075和003都会有新消息
• 尝鲜太阳谷 UI ，微软 Win10 商店 App 流畅设计获调整
• b站激励计划怎么加入
• 城步消防大队深入辖区特殊学校开展消防安全培训活动
• 马斯克：全自动驾驶测试版需求量高 将推出下载测试版快速入口