 fox
II/IDEC networks :: lor-opennet.17 :: / Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях
|
Login |
[#]
Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях
Новостной_робот(mira, 1) — All
2022-10-14 20:00:03
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=57918
Новостной_робот(mira, 1) — All
2022-10-14 20:00:03
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям.
Ссылка: https://www.opennet.ru/opennews/art.shtml?num=57918