DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

服务器防ddos_web服务器安全防护_新用户优惠

05-02 WEB安全

服务器防ddos_web服务器安全防护_新用户优惠

除了常规的漏洞数据研究之外,Sonatype安全研究团队还为开源社区做出了贡献,当我们发现以前没有报告的缺陷时,企业防火墙,我们会付出更多的努力。回想一下,防御ddos攻击方法,今年早些时候,我们的团队发现他们可以绕过对SheetJS项目的修复。我们立即采取措施与项目开发人员合作,BAT大企业如何防御ddos攻击,负责任地披露旁路的细节,并与他们合作推出新的修复方案。因此,我们通过将这些新发现的信息整合到我们的数据中来帮助保护我们的客户。快进到最近在DefCon上的演示,其中突出了各种漏洞……因为DefCon是一个被广泛认可的事件,安全研究团队重新访问了其中提到的漏洞的数据,因为它们可能会重新引起关注。我们研究的一个漏洞是CVE-2019-19507"发现隐藏的属性进行攻击"节点.js生态系统"。与SheetJS一样,我们发现现有的修复程序仍然可以利用该漏洞进行攻击Json模式验证器(JPV)是一个开源的Json模式验证器,它可以很容易地将给定的Json对象与模式或特定模式进行比较。此类包的典型用例是验证传入的JSON是否为预期格式。CVE-2019-19507允许攻击者通过设置对象的`构造函数.名称`成为"数组"。为了解决这个问题,对JPV进行了更新,以确保构造函数匹配。在为这个CVE更新我们的数据时,安全研究员Garrett Calpouzos发现了一种重复攻击的方法。通过将恶意对象的构造函数设置为"[].constructor",攻击者可以再次成功地将对象伪装为数组,并错误地获取JPV验证的JSON数据。CVE-2019-19507绕过修复的攻击PoC来源:GitHub问题卡尔波佐斯发现后,立即联系JPV项目报告他的发现。通过GitHub问题10与该项目合作,他分享了一个概念证明(Proof-of-Concept,PoC),展示了如何利用漏洞进行攻击。该项目在他们的回应中做了值得称赞的工作,包括与我们沟通和修复漏洞,在收到PoC后的第二天(在我们最初的沟通后两天)发布了一个补丁版本。上周末,项目开发人员使用本机代码添加了一段新代码,专门检查数组`数组.isArray`函数与其他检查一起,以确保声称是数组的数据实际上是数组。版本2.2.2中包含了这一新功能来应对此类攻击。因此,"jpv"的用户应该考虑升级到npm中的2.2.2版本。虽然上周末新的修复正在进行中,但Sonatype的客户已经收到了CVE-2019-19507的最新信息,特别是以下咨询偏差:在研究这个漏洞时,cc防御设置,Sonatype安全研究团队发现了一个绕过开发人员为这个问题提供的修复的方法。截至2020年8月6日,我们已向开发商报告了该问题,正在等待答复。为了防止混淆,微信ddos防御算法,我们为该漏洞分配了一个新的漏洞标识符:CVE-2020-17479。使用包含CVE-2019-19507修复程序的"jpv"版本的客户应该在我们的产品中看到这个新分配的标识符(对于"jpv"版本

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/67508.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8948436访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X