DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防御cdn_服务器高防香港_超稳定

05-08 DDOS防御

高防御cdn_服务器高防香港_超稳定

英国夏令时昨天中午,github上流行的eslint存储库中打开了一个新的github问题。有人劫持了这个包并发布了一个版本,试图从pastebin下载恶意javascript代码,ddos防御相关视频,然后收集并发送用户的npmrc令牌(用于向远程存储库进行身份验证的令牌)给犯罪者。eslint scope包非常受欢迎,每周下载量超过200万次。据估计有4500个代币被泄露,ddos防御瓶颈,由于这一暗示,ddos攻击原理与防御方法,npm公司昨天宣布,他们将撤销所有在事件发生前创建的用户代币。在eslint项目发表的验尸报告中,他们为事件道歉,并公布了攻击的时间表。然后他们提出了一些建议,比如总是在开放版本范围内对包管理器使用锁文件。好消息是,整个开源社区都很专业地处理了这种情况,并且显示了能够审计和检查被引入的代码的能力。现在每个开源用户都有责任利用社区中所做的大量工作,以确保您能够尽快找到并解决问题今天的事件,大家都很认真负责地处理。每个人都专注于保护npm社区的安全,以及如何更好地将工具放在每个人的手中。-Ceej"迟钝的领导"Silverio(@ceejbot)2018年7月13日根据Laurie Voss(@seldo),npm 6或更高版本的用户如果尝试使用组件进行构建,则会自动收到此问题的通知。如果您在内部使用私有工件存储库管理器(如我们的Nexus存储库),您可能需要考虑取消所有内部令牌,如果您发现此组件是由您的组织下载的。下面是你今天可以采取的三个步骤来处理这个包裹事件的后果。1发现哪些应用程序具有错误版本的eslint scope和eslint config eslint我们的数据团队快速跟踪了与此组件相关的所有安全通知,因此我们的Nexus生命周期和防火墙的用户将被覆盖。如果您打开了持续监控,您将已经收到该问题的自动通知。若要手动搜索可能已拉取此恶意组件的应用程序,请参阅我以前关于此主题的文章。2撤消Nexus Repository manager中的所有npmrc令牌并删除组件避免任何不利影响的最佳方法是立即从NXRM中删除组件。受影响的组件是eslint范围@3.7.2以及eslint配置eslint@5.0.2。 通过API从nexus删除组件:https://help.sonatype.com/repomanager3/rest和集成api/components-api\ComponentsAPI-删除组件通过GUI删除组件:搜索并定位组件并从GUI中删除它。例如,删除组件引擎.io-客户:作为额外的预防措施,您可能还希望撤销npm的所有身份验证令牌。如果使用内部Nexus用户帐户管理或使用旧式npm身份验证字符串,ddos攻击的检测与防御研究,则只需强制更改用户的密码即可。 撤销所有用户令牌:通过点击用户令牌屏幕管理屏幕上的"重置所有用户令牌"按钮,可以使用户令牌无效。用户令牌与格式无关,将为所有格式重置。 通过使用Nexus的内部用户管理器,管理用户可以使用Nexus的内置用户管理器对每个用户强制更改密码。 如果不希望用户在发生此更改时能够访问系统,还可以临时禁用npm bearer auth token域。三。保持冷静并进行测试任何好的依赖关系管理方法的主旨是通过锁文件来选择绝对版本,而不是开放版本范围或最新版本。在构建中包含这些实践对于防止在发布新组件时自动下载它们是绝对重要的。我们的小组每天都要更新数百个不同类型的情报来源。使用@sonatype-pells,因为对于javascript绝对集群[bleep]来说,高防cdn目标客户,生命太短暂了https://t.co/j7D0MIIqhx。谢谢你保护我的安全你们这些美丽的天使

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67805.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8984929访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X