forum.opennet.ru

"Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от Аноним (34), 14-Окт-22, 18:29
Thread.Sleep(Math.Random(500)); В продакшен!
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях, opennews, 14-Окт-22, 12:24 [смотреть все]

Осталось узнать как техникой перебора узнать какие пакеты есть в приватном репоз, Аноним, 14-Окт-22, 12:24 (1)
Автор, какой сервер Этих npm-серверов , Аноним, 14-Окт-22, 12:26 (2) //
- Не знаю , Аноним, 14-Окт-22, 18:40 (37)
- https registry npmjs org Скопировал из первой ссылки в новости, хотя это и так, Аноним, 15-Окт-22, 01:51 (46)
Сразу подумал, как прочитал заголовок , Аноним, 14-Окт-22, 12:28 (3) //
- Задержка - это ещё ладно Главное - в другом О_о Привет всяким карго Отказалс, Аноним, 14-Окт-22, 13:40 (11) //
  - Насколько я могу судить на основании своего прошлого опыта, информация такого ро, Адмирал Майкл Роджерс, 14-Окт-22, 16:40 (24)
  - Если какой-то балда додумался ссылаться к собственным пакетам просто по именам, , Бывалый смузихлёб, 14-Окт-22, 17:29 (28) //
    - Для какой балды это очевидно , Аноним, 14-Окт-22, 17:32 (29)
      - Итак, есть система, заточенная на работу с глобальным репозиторием в первую очер, Бывалый смузихлёб, 15-Окт-22, 08:18 (48)
        
        А потом удивляемся дырам из-за таких смузихлёбов Дыры by design , Аноним, 18-Окт-22, 05:32 (51)
Вообще очень непросто защититься от такого Это вся стандартная архитектура с ба, Аноним, 14-Окт-22, 12:39 (5) //
- А вообще - просто Нужно просто на сервере измерять время операций и замедлять с, Аноним, 14-Окт-22, 12:42 (6) //
  - Кто-нибудь, запилите фичу для популярных баз , Аноним, 14-Окт-22, 12:44 (7) //
    - Thread Sleep Math Random 500 В продакшен , Аноним, 14-Окт-22, 18:29 (34)
      - Thread Sleep 4 chosen by fair dice roll, guaranteed to be randomтогда, Аноним, 14-Окт-22, 20:04 (41)
- Очень просто поменять приоритет публичных и локальных репов , Аноним, 14-Окт-22, 13:43 (12) //
  - Проблема в том, что само название пакета и его существование может быть коммерче, Аноним, 14-Окт-22, 20:02 (40)
- Конечно, это очень непросто проверить наличие у юзера прав доступа до поиска а н, Аноним, 15-Окт-22, 10:43 (50)
Просто комитить зависимости, Аноним, 14-Окт-22, 13:38 (10)
Надо просто взять все популярные имена зависимостей и разместить, да и все, заче, Аноним, 14-Окт-22, 14:16 (14) //
- Он упадет если нет депендесни Надо сначала проверить , Аноним, 14-Окт-22, 14:52 (17)
Но ведь сначала должны проверяться права доступа Как тогда доходит до проверки , Аноним, 14-Окт-22, 16:57 (27) //
- они всё наоборот делают , Аноним, 14-Окт-22, 17:34 (30)
Да ладно, серьёзно , Аноним, 14-Окт-22, 18:04 (32)
А может быть просто не надо тянуть свежие версии из публичных репозиториев без а, AKTEON, 14-Окт-22, 18:11 (33)
В npm можно свой user-scope или organization-scope создать тогда никто не сможет, Igraine, 14-Окт-22, 19:27 (38) //
- Какое дело честному человеку до левых репозиториев , pashev.ru, 14-Окт-22, 19:38 (39) //
  - Какое дело честному человеку до репозиториев , Аноним, 14-Окт-22, 21:15 (42)
нет NPM, нет и атак, darkshvein, 14-Окт-22, 23:33 (45)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру