【笔记】如何知道build script下载了哪些东西?

最新推荐文章于 2024-04-29 15:21:52 发布
最新推荐文章于 2024-04-29 15:21:52 发布
阅读量4.8k 收藏
点赞数
分类专栏: Security 文章标签: https 安全 软件供应链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/prog_6103/article/details/121239902
版权

产品怎么去track漏洞?在管理supply chain的时候,我们会遇到很多问题。我们知道,一个工厂的流水线机器会安装各种传感器来监测生产环境,那么对于软件的流水线呢?比如build script有没有下载不安全的lib?比如我们的下载源有没有受到攻击提供了不安全的package?首先,我们需要知道的是,build script访问了哪些网站,url分别是什么?

其实我们可以使用第三人攻击的方法,架设一个proxy,然后将所有的网络流量都通过这个proxy。这个proxy可以模拟target网站,然后把信息原封不动地再传递给target。这样自然而然就可以拿到HTTP/HTTPS的url了。对于很多binary protocol,目前还是比较困难的,比如ssh,不是文本,就不能快速解析;像udp就更复杂了。所以为了能达到100%监测,基于现在的技术,我们需要将build script全部使用HTTP/HTTPS进行外部访问。

HTTP proxy很好理解,但是HTTPS有些人肯定会有疑虑,如何能伪装一个网站,并且通过SSL验证。其实这最终就是一个证书配置的问题。我们生成一个根证书去签发所有伪装的网站,只要把这个根证书在需要的地方注册好,让它暂时可信就可以了。当然,这里确实有一些麻烦的地方,对于不同的工具有自己读取并验证根证书的方法,我们要看build script到底使用了哪些工具来进行特别配置。

因为对于HTTPS proxy,不同工具配置不同,如何保证所有流量都route到proxy里面了呢?所有我们可以启用另一个法宝tcpdump,它可以监测所有原始的网络流量;我们可以将它的src和dst的IP都列出来,并且去解析DNS packet得到hostname,这样所有的外网访问都会被列出来。如果有HTTPS没有route到proxy的,tcpdump的报告里就会多出一些未知IP或者hostname。

https://github.com/stallpool/track-network-traffic

从代码来看,其实核心就是一个mitmproxy,它会自动生成一个根证书,然后伪装成各种网站对url进行截取。track-network-traffic的工作主要就是把这个根证书配置到需要的工具里。当然,还需要开启tcpdump功能,让traffic没有漏网之鱼。

我们来看看这个工具的使用状况:

bash ./bin/tnt.bash -o . -- curl https://www.google.com

bash ./bin/tnt.bash -a -o . -- pip install pg8000

当然嫌一个command一个command太麻烦,就写一个bash

cat > all_in_one.sh <<EOF
curl https://www.google.com
pip install pg8000
EOF

bash ./bin/tnt.bash -o . -- bash all_in_one.sh

这样就可以得到诸如下列report.json

{
   "items": [
         {
         "content": "binary",
         "host": "www.google.com",
         "path": [
            "/ HTTP/2.0"
         ],
         "protocol": "https"
      },
      {
         "content": "binary",
         "host": "pypi.org",
         "path": [
            "/simple/pg8000/",
            "/simple/scramp/",
            "/simple/asn1crypto/"
         ],
         "protocol": "https"
      },
      {
         "content": "binary",
         "host": "files.pythonhosted.org",
         "path": [
            "/packages/0d/b9/0f8e90f4d3785c517b15e1643d58fd484e2b594559d1af37e19217a74817/pg8000-1.22.0-py3-none-any.whl",
            "/packages/27/31/80bfb02ba2daa9a0ca66f82650c411f1a2b21ce85164408f57e99aab4e4e/scramp-1.4.1-py3-none-any.whl",
            "/packages/b5/a8/56be92dcd4a5bf1998705a9b4028249fe7c9a035b955fe93b6a3e5b829f8/asn1crypto-1.4.0-py2.py3-none-any.whl"
         ],
         "protocol": "https"
      }
   ]
}

对于docker build,我们同样可以配置各种proxy,但是最终的产物image不能对外发布,因为image里多出了一些证书和配置layers。这个其实可以靠强制去除layer chain来解决。比如想要得到docker build的网络访问report

cat > Dockerfile <<EOF
FROM python:2.7.18
RUN curl https://www.google.com
RUN pip install pg8000
EOF

./bin/docker build .

其他就大家自己摸索吧。想要讨论的同学可以注明需要讨论的主题加微信
在这里插入图片描述

prog_6103
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[笔记分享] [SCons] Qualcomm Build System Images
Kris Fei's blog
09-01 1820
通过AddLibrary()或者其他methods将libarary and/or object files添加到一个tag中, 这些tag会通过InitImageVars()被加入到images。InitImageVars():获取多个参数,告诉scons如何build image,下面是各个参数意义: alias_list: image name proc: processor type,
firebot-script-minecraft-rcon
04-19
笔记 将脚本定义对象(包含run , getScriptManifest和getDefaultParameters函数) index.ts在index.ts文件中,因为重要的是不要最小化这些函数名。 编辑package.json的"scriptOutputName"属性以更改输出脚本的...
linaro交叉编译工具链下载与使用笔记
yjkhtddx的专栏
11-28 3838
通常,在交叉编译环境中,交叉编译器用于生成二进制可执行文件,而 runtime 和 sysroot 文件则提供了在目标平台上运行这些生成的可执行文件所需的运行时支持和库。这三个文件通常用于交叉编译环境,特别是用于在 x86_64 主机上进行 ARM64(aarch64-linux-gnu)目标平台的交叉编译。我的目标环境:RK3588的aarch64架构,系统ubuntu20.04,小端(Little Endian)架构。我的开发环境:Inter的x86_64架构,系统ubuntu20.04。
【报错笔记】运行Maven项目时发现项目Build错误
二十四日的博客
04-07 1309
运行Maven项目时发现项目Build错误 错误原因:在pom.xml中没有定义maven运行插件 解决方案:在pom.xml写上以下依赖 <build> <finalName>ueas</finalName> <plugins> <plugin> <artifactId>maven-compiler-plugin</artifactId> <configuration>
build.gradle配置学习笔记
sinat_35073873的博客
11-21 541
学习笔记,不算原创吧. // Top-level build file where you can add configuration options common to all sub-projects/modules. //buildscript Block里面可以包含repositories dependencies两个函数. //这个project叫root project用来配置它的子pr
nvimrc:我的备份nvim配置
03-26
这是带有Nightly build的NeoVim配置。 安装 克隆此仓库。 $ git clone https://github.com/bandithijo/nvimrc $HOME/.config/nvim 进入NeoVim配置目录。 $ cd $HOME/.config/nvim 运行pre_install脚本。 $ ./pre...
lodash-comments:Lodash v4.17.4原始码解析(含大量注释及学习笔记
03-24
使用生成: $ npm run build$ lodash -o ./dist/lodash.js$ lodash core -o ./dist/lodash.core.js下载( ) ( )Lodash是根据发布的,并支持现代环境。 查看并选择最适合您的一个。安装在浏览器中: < script ...
Storm:空气的SPH(平滑颗粒流体动力学)重新实现
03-16
一次执行Build \ Script \ Setup.bat,然后修改新创建的Build \ Script \ UserSettings.bat以匹配工作站中每个依赖项的路径。 并重新执行Build \ Script \ Setup.bat。 笔记 : 您应该事先下载所有依赖项,并且...
TemplateMode:用于在 Processing IDE 2.0 中扩展 Java 模式的模式模板
06-01
用于处理 2.0 的模式模板 弗洛里安·杰内特马丁·利奥波德笔记默认情况下,这会扩展 JavaMode,因此您将获得熟悉的编辑器和您习惯的所有功能,这些功能来自您的模式中的 vanilla 处理。 如果您不想扩展 JavaMode,请...
Apace配置+http重定向到https
qq_39951524的博客
04-23 543
Apace配置+http重定向到https;配置apache安装目录下的 ssl.conf 以下内容;配置apache安装目录下的 httpd.conf 以下内容;
Linux:使用ssl加密网站为https
fox_kang的博客
04-26 517
【代码】Linux:使用ssl加密网站为https
SpringBoot配置HTTPS及开发调试
最新发布
月月鸟先森的博客
04-29 308
在实际开发过程中,如果后端需要启用https访问,通常项目启动后配置nginx代理再配置https,前端调用时高版本的chrome还会因为证书未信任导致调用失败,通过摸索整理一套开发调试下的https方案,特此分享。
HTTPS原理
渔阳的博客
04-23 498
安全性:高加密传输明文传输加密方式分对称加密和非对称加密,https是把这两种都用上了称之为混合加密。
分享一个网站实现永久免费HTTPS访问的方法
ylfdc168的博客
04-26 1007
免费SSL证书作为一种基础的网络安全工具,以其零成本的优势吸引了不少网站管理员的青睐。
HTTP如何自动跳转到HTTPS,免费SSL证书如何获取
u012062803的博客
04-24 575
HTTP,即超文本传输协议,是互联网上应用最为广泛的网络协议。而HTTPS,全称为安全超文本传输协议,通过在HTTP的基础上加入了SSL/TLS加密层,使得数据能够被加密传输,从而保障了数据的安全。然而,对于一些刚刚起步的网站或是个人博客而言,如何自动跳转到HTTPS,以及免费SSL证书的获取,可能还是一个需要解决的问题。各类服务器需要修改的文件大同小异,可根据自己服务器类型选择需要修改的文件和参数,不知道的也可自行搜索。以上就是从HTTP自动跳转到HTTPS,以及获取免费SSL证书的具体步骤。
保姆级系列教程-玩转Fiddler抓包教程(1)-HTTP和HTTPS基础知识
2301_81967703的博客
04-23 499
有的小伙伴或者童鞋们可能会好奇地问,不是讲解和分享抓包工具了怎么这里开始讲解HTTP和HTTPS协议了。这是因为你对HTTP协议越了解,你就能越掌握Fiddler的使用方法,反过来你越使用Fiddler,就越能帮助你了解HTTP协议。Fiddler无论对开发人员或者测试人员来说,都是非常有用的工具。
http和https的区别
lth002的博客
04-27 5389
但是这种方式也有一个弊端,那就是被篡改,就是在服务端第一次给客户端公钥key1的时候,第三方把公钥key1保存起来,然后第三方生成一个公钥key3和私钥key3,然后将公钥key3给客户端,客户端并不知道这个公钥key3是被篡改的,也用公钥key3来加密公钥key2,然后第三方窃取到这个加密后的公钥key2,通过私钥key3进行解密就可以拿到公钥key2,进行保存,然后再用之前保存的公钥key1来加密给服务端,这样第三方也能获取到公钥key2。不能理解的话就画图来表示,整个逻辑很简单的。
0元实现网站HTTP升级到HTTPS(免费https证书)
abcd759200的博客
04-23 910
HTTPS就是在HTTP的基础上加入了SSL,将一个使用HTTP的网站免费升级到HTTPS主要包括以下五个步骤:
python笔记下载
11-04
下载Python的笔记,我们可以按照以下步骤进行: 首先,你需要找到一个可靠的网站或在线资源来下载Python的笔记。你可以搜索一些知名的教育机构、编程社区或者编程网站,它们通常提供了高质量的Python学习资源。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值