关于JavaScript开源生态中安全漏洞传播及其演变分析

最新推荐文章于 2024-04-17 14:13:24 发布
最新推荐文章于 2024-04-17 14:13:24 发布
阅读量312 收藏 1
点赞数
文章标签: java 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49832675/article/details/124866988
版权

本文主要介绍Scantist科研团队近期在软件工程顶会International Conference on Software Engineering(CSE)2022中接收的一篇关于 JavaScript包管理器NPM生态中软件安全漏洞的传播及其演变分析的工作《Demystifying the Vulnerability Propagation and Its Evolution via Dependency Trees in the NPM Ecosystem》。

此工作基于Scantist独家的开源生态数据做了一个系统化安全分析,希望给开源社区的安全治理提供更多的见解和思路。

一、研究背景及动机

随着第三方组件在软件开发过程中的广泛使用,如何妥善管理第三方组件中引入的安全漏洞所带来的安全风险,尤其在2021年12月log4j RCE漏洞和2022年3月Spring框架远程命令执行漏洞事件爆发之后,成为DevSecOps过程中广受关注的问题之一。其中,关于安全漏洞的影响传播,特别是在如NPM这种大规模使用第三方组件的软件生态中,显得尤为重要。


在已有的相关工作中,研究人员主要通过两种方式分析依赖中存在的安全漏洞对用户项目的影响。

  1. 通过直接依赖关系反向追踪含有漏洞组件的下游用户
  2. 基于依赖关系进行间接依赖的可达性分析

然而,这两种依赖关系均忽视了NPM生态中软件包安装过程中上下文环境对依赖版本选择的影响,从而无法精准地得到安全漏洞在生态中真实的影响范围。

如下图所示,直接以间接依赖的可达性分析,则存在A@1.0.0->C@1.0.0->D@1.2.0->E@1.0.0的间接依赖链 ,如图(b)。

而根据NPM的依赖解析规则,由于A@1.0.0的直接依赖中已经解析并选择了D@1.0.0,而D@1.0.0亦满足C@1.0.0->D的依赖约束范围,此时应直接选择已有的D@1.1.0而不是重新安装D@1.2.0从而引入含有漏洞的E@1.0.0.

二、研究方法

基于此,本文旨在提出一种轻量且能够对安全漏洞影响尽可能准确分析的方法,对NPM生态中存在的安全漏洞进行经验研究。

如上图所示,我们首先设计并实现一整套

最低0.47元/天 解锁文章
薛BLING
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基于JavaScript的框架漏洞_javascript框架库漏洞(1)
m0_60607245的博客
04-09 573
picture cut是一个jquery插件,以非常友好和简单的方式处理图像,具有基于bootstrap或jquery ui的漂亮界面,具有ajax上传,从资源管理器拖动图像,图像裁剪等强大的功能。调用**…/core/PictureCut.php** 处理文件上传的代码不检查文件类型并允许用户选择文件位置路径。未经身份验证的用户并将可执行的 PHP 文件上传到服务器,从而允许执行代码。
黑客用漏洞清除债务 这种漏洞如何“早知道”
wulanlin的博客
01-13 2001
利用漏洞清除债务,盗取数据,一键获取XX游戏的所有账户登陆权限,这些看似爽文里的“骚操作”其实早就在现实上演。 2013年,一个自称RedHack的黑客小组利用土耳其政府网站的Web漏洞,清除了相关人员在政府机构的债务数据。2015年,某安全研究人员公开称,可以通过特定的注入漏洞攻破某知名汽车的网站,获得管理权限,并窃取用户数据。2019年,拥有超过3.5亿用户的在线游戏“XX垒之夜”被爆出一个SQL注入漏洞,可以让攻击者访问所有用户帐户。 这些都是Web应用程序的漏洞,Web应用程序已经广泛应用社交
RiskSense Spotlight:全球知名开源软件漏洞分析报告
smellycat000的专栏
06-22 2151
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队RiskSense公司最近发布了关于全球当前知名开源软件(OSS)的漏洞分析报告。奇安信代码卫士团队编译如下。摘要开...
软件供应链安全2022年回顾
murphysec的博客
01-23 720
Gartner认为软件供应链攻击是2022年的主要的威胁来源,有人将2022年称为软件供应链安全元年,是新上任CIO的首要工作,越来越多开发者、安全研究人员在关注软件供应链安全。我们通过梳理漏洞开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点,来对软件供应链安全这一领域进行回顾。可以看到:新出现的漏洞开源组件的数量都在增长国有6个针对特定行业的信息安全管理法规涉及软件供应链,软件供应链安全的标准与指南在加速,美国、新加坡、欧盟、英国也相继发布了软件供应链安全建设计划、指南。
JavaScript安全性:XSS、CSRF和CORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 4122
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤和验证用户输入、使用安全JavaScript库和框架、使用CSRF令牌和配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSS、CSRF和CORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网站可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,跨域请求是不允许的。
开源软件源代码安全缺陷分析报告
02-10
通过对这些软件进行源代码安全缺陷分析,旨在揭示物联网领域开源软件存在的安全风险。 #### 三、测试内容 ##### 3.1 安全缺陷种类 本次测试重点分析了以下八种常见安全缺陷: 1. **输入验证**:此类问题通常由...
基于Vue和JavaScript开源软件漏洞检测系统源码+使用教程.zip
12-29
基于Vue和JavaScript开源软件漏洞检测系统源码+使用教程.zip ## Install the dependencies ```bash yarn # or npm install ``` ### Start the app in development mode (hot-code reloading, error reporting, ...
利用noesis.Javascript开源组件.Net执行javascript脚本
10-26
标题的“利用noesis.Javascript开源组件.Net执行javascript脚本”是指在.NET环境使用Noesis.Javascript这个开源库来运行JavaScript代码,并且允许JavaScript与C#代码进行交互。Noesis.Javascript组件使得...
vulncost:在编写代码时在开源npm软件包查找安全漏洞
03-22
在使用JavaScript,TypeScript和HTML进行编码时,查找开源软件包安全漏洞。接收与您的代码一致的反馈,例如您要导入的程序包包含多少个漏洞。最重要的是,如果发现已知漏洞,则提出修复建议。如果您喜欢该扩展...
JavaScript常见安全漏洞及自动化检测技术
03-23
JavaScript常见安全漏洞2010年12月份,IBM发布了关于Web应用客户端JavaScript安全漏洞的白皮书,其介绍了IBM安全研究机构曾做过的JavaScript安全状况调查。样本数据包括了675家网站,其有财富500强公司的网站...
基于JavaScript的框架漏洞
weixin_68408599的博客
12-09 2656
本文章是基于JavaScript框架的漏洞,相关靶场均在vulhub靶场,此文章只供于学习讨论。
SCA 技术进阶系列(五): 揭秘运行时SCA - 新视角下的供应链安全革新
Anprou的博客
03-01 1145
运行时SCA凭借精准识别数字应用运行加载时真正使用到的第三方组件及依赖,在应用测试和上线运营场景有着更广泛的应用场景。
JS常见的安全漏洞
weixin_70191743的博客
11-28 2150
JS常见的安全漏洞
Javascript框架库漏洞验证,劲爆
最新发布
04-17 735
经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报告的书写。AWVS扫出来的JS框架库漏洞RSAS扫出来的JS框架库漏洞
安全漏洞:检测到目标站点存在javascript框架库漏洞
面向未来的历史
03-12 1万+
将用若依框架开发的后台管理系统代码使用绿盟安全检测,结果:检测到目标站点存在javascript框架库漏洞。 如图: 网上针对这个问题一般都是说jquery 版本过低,升级版本就行,但是若依并没有使用 jquery。 或者将 cookie 改成 localstorage 若依框架的确是用了 js-cookie。 将cookie 改为 localStorage 后, 该问题还是存在。 ...
开源组件漏洞检查工具实践分析
发现问题,面对问题,分析问题,解决问题,总结问题
08-28 3934
开源软件安全检测工具。该工具主要提供如下功能:【代码安全检测】:识别您代码项目存在的开源组件安全漏洞,并快速修复它。【许可证合规评估】:识别您代码项目使用的开源组件许可证,检查合规的风险。【软件成分分析】:识别您代码和基础环境的三方组件依赖资产,并有效管理。支持语言:目前支持 JavaJavaScript、Golang 、Python 语言项目的检测...
WEB安全漏洞javascript版本漏洞
热门推荐
Agonie_25的博客
05-20 1万+
漏洞说明 在用webinspect或者appscan等工具扫描项目的时候,js版本漏洞(版本过低)是其比较常见的一个。漏洞说明为:项目使用了存在漏洞的jquery版本,可能会导致跨站脚本攻击(XSS)。 修复该漏洞的方法为更新jquery版本,但有一个问题就是,不同的工具扫描的情况也不同,比如在项目,我们把jqeury版本升级到v1.11.0,webinspect没有扫描出漏洞,但是AWVS则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

薛BLING

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值