如何使用faker防止劫持攻击 -凯发一触即发



编辑:好困

【新智元导读】程序突然乱码,开发者紧急「修复」!然而……





这两天,一些开发者感觉有点懵……











最初,用户怀疑这些项目所使用的库「colors」和「faker」被入侵,类似于去年coa、rc和ua-parser-js库被恶意分子劫持的情况。







看到各种反馈之后,开发者也赶紧发文表示已经在努力「修复」了。











但事实证明,故事并没有这么简单。







找了一圈发现,网上的图都不太能放……







总之,就是和「恶魔」有着千丝万缕的联系。







而marak所做的,正是引入了一个无限循环的bug,让数以千计的依赖「color」和「faker」的项目直接崩溃。











这些信息包括文本「liberty liberty liberty」,以及在后面跟着的一大串非ascii字符。











然而,时间一分一秒地过去了,自己的程序跑不了,项目的开发者也迟迟没有提交凯发一触即发的解决方案。







开发者们不得不开始自己寻求凯发一触即发的解决方案。











斯沃茨是一名美国程序员、企业家和著名的黑客活动家,在一场法律诉讼后「自杀」身亡。







为了使所有人都能自由获取信息,这位黑客从麻省理工学院校园网上的jstor数据库下载了数百万篇期刊文章,据称他通过反复旋转自己的ip和mac地址来绕过jstor和麻省理工学院设置的技术封锁。











软件工程师sergio gómez对此表示非常不理解:「从github上删除自己的代码是违反他们的服务条款的?wtf? 这是一种绑架行为。」





log4j:用爱发电,还得背锅





marak的「删库跑路」,不由得让我们想起最近闹得沸沸扬扬的「log4j事件」。







据火线安全不完全统计,仅在github上,就有60644个开源项目发布的321094软件包存在风险,这一漏洞可以说是影响了互联网上70%以上企业系统的正常运转。







由于java应用程序通常会记录各种各样的事件,例如用户发送和接收的消息,或者系统错误的详细信息,因此该漏洞可以通过多种方式触发。







很快,log4shell漏洞开始出现大规模的恶意利用。











随着越来越多的问题被发现,log4j的开发者们也不得不开启了假期无偿加班模式,为该项目打补丁。







虽然已经在「不眠不休地进行抢救:修复、文档、cve、回复咨询了」,然而,依然有一些bug赏金猎人在对log4j维护者进行围追堵截。











log4j这件事也让更多人开始关注大企业是如何「压榨」开源的问题。







大量的网站、软件和应用程序依靠开源开发者来创造基本的工具和组件,他们不断地消费,却没有给予足够的回报。







而这些「孜孜不倦」地修复着安全问题的开发者们,不仅放弃了自己的闲暇时间,也没有得到任何资金的支持。







网友对此评论道:「对color.js/faker.js作者破坏他们自己的软件包的反应,恰好也说明了有多少企业开发者认为他们在道德上有权使用开源开发者的无偿劳动,而不用做出任何回报。」







对于开源代码的未来,大概只能等时间来告诉我们吧。







参考资料:



https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

本文来自投稿,不代表商川网立场,如若转载,请注明出处:http://www.sclgvs.com/zonghe/51252.html

凯发一触即发的版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请联系凯发一触即发举报,一经查实,本站将立刻删除。

网站地图