php包存储库,Packagist PHP包存储库中修复远程代码执行漏洞

最新推荐文章于 2021-09-08 17:01:47 发布
最新推荐文章于 2021-09-08 17:01:47 发布
阅读量66 收藏
点赞数
文章标签: php包存储库

Packagist是Composer背后的默认包主机,它有超过4.35亿个软件包安装。

0fcda4367f11d485deaad2187058683d.gif

安全研究人员Max Justicz报告了此漏洞,专家发现通过软件包存储库主页提交新PHP软件包的“提交软件包”输入字段允许攻击者以“$(执行我)”的格式执行恶意命令”。

“你可以在网站上的一个大文本字段中键入$(执行我),它将在shell中执行你的命令(两次)。”读取专家发布的安全建议。

“您通过提供Git,Perforce,Subversion或Mercurial存储库的URL将包上传到Packagist。为了识别URL指向哪种存储库,Packagist使用包含此URL作为参数的特定于应用程序的命令来发送到git,p4,svn和hg,“

专家指出,当用户向Packagist提供URL时,它不正确地转移输入,允许恶意执行shell中的任何命令(两次)。

缓解很简单,Packagist存储库的维护者只是为Composer存储库中的相关参数实现了转义功能。

“Packagist团队通过逃避Composer存储库中的相关参数快速解决了这个问题,”Justicz解释道。

该专家警告说,包管理器实施的安全性较低,可能为未来的攻击敞开大门。

“软件包管理器的安全性并不总是很好,您可能应该计划将来的软件包管理器服务器受到攻击。在过去一年左右的时间我已经发现的bug让我 上rubygems.org执行任意代码, 在某些故宫的官方镜(不是主要的注册表)执行代码, 一封来自PyPI删除任意版本的文件, 用在每一个网站上投放任意JS npm的流行CDN,现在在packagist.org上执行任意代码。“专家总结道。

“ 如果预计不会改变包,我认为应用程序构建管道可以从每个构建的上游服务器中获取新的软件包下载,这是一种安全反模式。如果由于某种原因你必须这样做,你应该使用加密安全散列函数来确定依赖关系。“

weixin_39808893
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
twity:私有作曲家存储 - Packagist 镜像
05-30
私有作曲家存储 - Packagist 镜像 这个项目是在 MIT 许可下分发的,没有任何保证 选择 是提供专业支持的商业托管产品。 Private Packagist 的部分收入用于支付 Composer 和 Packagist.org 的开发和托管费用,...
php怎么使用packagist,在packagist上发布composer
weixin_39569894的博客
03-19 206
前提:下载安装composer、git注册packagist、github账号一、在GitHub上发布代码1、登录GitHub,点击new repository按钮其中Repository name: 仓名称Description(可选): 仓描述介绍Public, Private : 仓权限(公开共享,私有或指定合作者)Initialize this repository with a R...
php怎么使用packagist,PHP的Composer 与 Packagist,简单入门
weixin_31321851的博客
03-19 420
【转】http://www.php.cn/manual/view/34000.htmlComposer 是一个杰出的依赖管理器。在composer.json文件中列出你项目所需的依赖,加上一点简单的命令,Composer 将会自动帮你下载依赖并设置自动加载。Composer 可以类比为 node.js 世界的 NPM 或 Ruby 世界的 Bundler。现在已经有许多 PHP 第三方...
如何创建一个自己的 Composer/Packagist (PHP)(转)
huoyan98的博客
10-21 407
转自 如何创建一个自己的 Composer/Packagist 首先让我们踏着欢快的脚步去Github创建一个新,这里取名 composer-car,又欢快的将它克隆到本地: git clone https://github.com/GeHou/composer-car.git cd composer-car 这个composer-car文件夹就是你的的root目录了,你只需要记住co...
php怎么使用packagist,创建自己的composerpackagist
weixin_27872611的博客
03-19 421
如何创建一个composer的packagist安装1. 编写逻辑代码编写一个测试demo丢在src文件夹内:(也可以放在更目录,建议根据文件功能分类放在文件夹中)
简单的静态Composer存储生成器-对于完整的私有Composer存储,请使用Private Packagist-PHP开发
05-27
满足简单的静态Composer存储生成器。 从源代码运行安装源:composer create-project composer / satis:dev-master --keep-vcs构建存储php bin / satis build <configuration> Satis简单的静态Composer存储...
repman:Repman-PHP存储管理器
03-08
Repman-PHP存储管理器 Repman是一个PHP存储管理器。 主要特点: 免费和开源 充当packagist.org的代理(加快本地构建速度) 托管您的私人裹 允许创建单独的访问令牌 一键支持从GitHub , GitLab和Bitbucket...
CompoLab:用于GitLab的Composer存储(Web服务器):获得自己的“ Packagist”并私下托管您PHP软件
02-03
CompoLab CompoLab是一个PHP软件存储服务器,使您所有与GitLab兼容的存储都可以作为Composer依赖项使用。 为了由CompoLab注册,您的GitLab存储必须在根目录中含有效的composer.json文件。安全免责声明默认...
php-article-extractor:从网页中提取文章文本的 PHP
07-23
将三种不同的方法聚合到一个解决方案中,同时添加了语言检测的附加功能。 如何使用 这个是通过 packagist.org 分发的,所以你可以使用 composer 来检索依赖项 composer require crscheid/...
php 的两个比较好用的 packagist
hjh15827475896的博客
09-08 202
这里记录两个 php 中感觉比较好用的两个数据, 一个是文件查找器, 一个就是文件上传系统的 它们的分别是 symfony/finder 这个是用来扫瞄文件夹, 并筛选其中的文件的, 在看一这个之前, 我一般是使用 scandir 或者 glob scandir 得到的是文件的名称 glob 得到的是文件的 绝对路径 通常为和 require “xxxx” ,来一起使用 现在, 我们可以使用 finder 组这, 它是 symfony 的一个组件, 可以单独的根据需要单独使用 comp
composer安装以及packagist镜像的使用
qq_31016531的博客
06-29 1229
安装前准备要想正常使用composer,必须先给php安装openssl扩展。php安装openssl扩展 1 首先检查php.ini中;extension=php_openssl.dll是否存在, 如果存在的话去掉前面的注释符‘;’, 如果不存在这行,那么添加extension=php_openssl.dll。 2 把php文件夹下的: php_openssl.dll, ssleay32.dll,
node-v11.8.0-linux-arm64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
C语言期末大作业之图书信息管理系统实现-基于Dev-C++实现.zip
05-04
c语言期末大作业 C语言期末大作业之图书信息管理系统实现_基于Dev-C++实现
node-v8.16.2-sunos-x64.tar.xz
05-04
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
爬虫selenium需求geckodriver
最新发布
05-04
爬虫selenium最新版本缺少的,快速拿去使用。
毕业设计基于 YOLOv8 和 LPRNet 的车牌识别系统python源码+模型.zip
05-04
1、该资源括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
微信小程序php下载
09-24
要下载微信小程序php,首先需要打开Composer的命令行工具或者在Composer的配置文件,即composer.json文件中添加相应的依赖项。可以在 https://packagist.org/ 搜索微信小程序php,并找到符合需求的。常见的微信小程序php有EasyWeChat、WeMini等。 以EasyWeChat为例,可以在composer.json文件中添加以下代码: ```json "require": { "overtrue/wechat": "~4.0" } ``` 然后在命令行中进入项目所在的文件夹,执行`composer install`命令来下载安装依赖。Composer会自动从Packagist网站下载微信小程序php及其依赖。 下载完成后,在项目中使用require或者autoload引入微信小程序php。根据的使用文档,可以完成对微信小程序的相关操作,例如获取access_token、发送模板消息、创建菜单等。 如果不使用Composer,也可以直接从GitHub等代码托管平台下载微信小程序php的源代码,然后在项目中手动引入相应文件。 需要注意的是,下载微信小程序php之前,需要确保项目已经搭建好了PHP运行环境,并且已经有了Composer。另外,一些微信小程序php可能还有特定的配置项需要设置,可以根据的文档进行配置。 总之,下载微信小程序php主要步骤括:添加依赖项到composer.json文件、执行composer install命令来下载依赖、引入代码并配置相应项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值