潮人地東莞無錫厚橋seo推廣seo博客小編下面跟大家分享關于seo推廣技巧之:wget命令可能會因文件系統擴展屬性而泄露用戶密碼(CVE-2018-20483)等問題,希望seo專員在做seo優化的過程中有所幫助,內容僅供參考。
今天潮人地東莞seo博客和朋友們分享一下關于wget命令可能會因文件系統擴展屬性而泄露用戶密碼(CVE-2018-20483)的內容,這篇內容轉載自百度安全指數平臺在2019年1月4日所發布的內容,正文部分如下:
所有在應用中使用了wget的程序員可能都要在瘋狂購物的假期中修復自己的應用。
seo博客相關推薦閱讀:seo推廣技巧之:基于IPMI協議的DDoS反射攻擊分析
GNU wget是一個免費且適用于多平臺的軟件包,它可以通過http、https、高明seo推廣ftp和ftps等一系列全球范圍內都廣泛使用的協議來檢索文件。它是一個非交互式命令行工具,因此可以很容易地通過腳本、定時任務等調用它。GNU wget具有許多特性,可以在web網站或者FTP站點輕松檢索大型文件和鏡像。
該漏洞被標記為CVE-2018-20483,計算機本地用戶可通過讀取文件系統擴展屬性來獲取敏感信息(例如,URL中所包含的登錄憑證)。
安全研究員Gynvael Coldwind(@voltagex)發現被存儲的文件系統擴展屬性中包括了用戶名和密碼。
TIL from @q3k and @marcan42五常網站seo推廣:wget會將下載文件的源URL(有時是引用)保存在擴展屬性中,而這其中就存在URL中有用戶名/密碼的情況。
$ getfattr -d -m – test
user.xdg.origin.url=”https://user:passwd@gynvael.coldwind.pl/”
— Gynvael Coldwind (@gynvael) December 25, 2018
安全研究員Hanno B?ck強調,URL中有時會包含外部服務的“登錄令牌”。任何計算機用戶都可以使用getfattr命令在計算機上訪問到這些屬性。
“下載文件的URL會作為文件系統擴展屬性的一部分存儲到本地。”B?ck寫道。
“通過運行getfattr -d [filename],您可以在Linux系統上看到這些屬性(下載文件的URL存儲在變量“user.xdg.origin.url”中)”
“這種方法也適用于user.xdg.referer.url變量存儲的引用信息。根據Wget的更新日志中2016-07-22的記錄,user.xdg.origin.url的值部分是由于curl中tool_xattr.c中fwrite_xattr的行為決定的。”
該問題也已向Chrome報告,并將很快得到解決。
根據Wget開發人員Tim Rühsen的說法,該程序在1.20.1版本中已默認禁用xattrs。
安全專家Hector Martin指出,一個想竊取含有敏感信息的URL的攻擊者可以把含有文件系統擴展屬性的文件用USB偷走。
這個漏洞可能會泄露敏感信息,甚至是認證證書。
同樣,Chrome也可被這樣利用。這些敏感文件可通過“mv”命令移動到別處。
— Hector Martin (@marcan42) December 25, 2018
以上也提醒我們,時刻保持軟件處于最新版,可有效避免很多安全問題。
原文鏈接地址:https://bsi.baidu.com/article/detail/122
以上是潮人地東莞seo博客跟大家分享關于seo推廣技巧之:wget命令可能會因文件系統擴展屬性而泄露用戶密碼(CVE-2018-20483)等問題,希望能對大家有所幫助,若有不足之處,請諒解,我們大家可以一起討論關于網站seo優化排名的技巧,一起學習,以上內容僅供參考。
