html标识符转化成安全漏洞Perl主PHP软件物流配送利用开放源标识符存储库作为攻击网站360 html防转化成标识符
php标识符转化成安全漏洞PHP主Git应用软件物流配送借助对外开放源标识符存储库做为反击中文网站360 php防转化成标识符
2022-04-2665
PHP 工程项目周三正式宣布它已被骇客侵略。 PHP的主Git伺服器被违法出访,普通用户上载了三个蓄意递交,主要包括两个侧门小软件合作开发,在投入生产以后就被辨认出了。
PHP是最盛行的Web合作开发开放源码JavaScript众所周知,标识符能内嵌HTML。蓄意递交被发送至php-src 存储库,进而使普通用户有良机展开物流配送反击以病毒感染矢口否认的中文网站。
三个递交都宣称在源标识符“一般来说的错字”。依照星期四发送至该工程项目电子邮件条目的最新消息,普通用户采用 PHP 贡献者的中文名称上载文档和 .指出这更为重要是凭证偷盗。
为的是应付此次骇客反击php标识符转化成安全漏洞,PHP 已将其伺服器移往 .
他还表示,PHP 已经开始检查和其大部份存储库中与否存有其它蓄意递交。
武器化应用软件物流配送
借助开放源码标识符存储库做为反击中文网站和应用程序的手段并不罕见。
例如,研究人员在 3 月份在 npm 公共标识符存储库中辨认出了针对 、Lyft 和(和其它)内部应用程序的蓄意程序包,大部份这些程序都泄露了敏感信息。这些应用软件包借助了概念验证 (PoC) 标识符依赖混淆安全漏洞,该安全漏洞最近由安全研究员 Alex 设计,用于将蓄意标识符转化成合作开发人员工程项目。
与此同时,1 月份php标识符转化成安全漏洞,三个蓄意应用软件包通过伪装成合法标识符发布到 npm。研究人员表示,任何被标识符破坏的应用都可能窃取用户的令牌和其它信息。
去年 12 月,在(Ruby Web编程语言的开放源码包存储库和管理器)中辨认出了三个带有蓄意应用软件的应用软件包中文网站制作,其中三个包被下线。