Веб-приложения и серверы на JavaScript уязвимы к атакам ReDoS
Главная » Новости

Веб-приложения и серверы на JavaScript уязвимы к атакам ReDoS

Олег Иванов 20 Августа 2018 - 11:29
...
Веб-приложения и серверы на JavaScript уязвимы к атакам ReDoS

Веб-приложения и серверы на JavaScript затрагивает опасная форма уязвимости, которая может привести к успешной атаке вида ReDoS (regular expression denial of service). Злоумышленник может проэксплуатировать уязвимость, посылая большие и сложные фрагменты текста на инпут веб-сервера или приложения на основе JavaScript.

Если серверный компонент или библиотека приложения специально не предназначены для обработки различных исключительных ситуаций, действия атакующего могут привести к блокировке всего приложения или сервера за считанные минуты.

Известно, что у различных языков программирования и технологий веб-серверов есть схожие проблемы с операциями сопоставления шаблонов, что подвергает их опасности атаки ReDoS. Однако в случае с JavaScript все усугубляется из-за однопоточной модели реализации большинства серверов JavaScript, где каждый запрос обрабатывает тот же поток.

Если злоумышленник проведет атаку ReDoS, она «положит» весь сервер, а не только одну конкретную операцию. Интересно, что впервые подобные схемы ReDoS-атак были описаны еще в далеком 2012 году.

Проведенный в прошлом году исследования показали, что 5 % всех уязвимостей, обнаруженных в библиотеках и приложениях Node.js, были связаны с ReDoS.

Сейчас же эксперты считают, что атаки ReDoS набирают популярность, так эти уязвимости игнорировались на протяжении долгого времени. Кристиан-Александру Стайцу и Майкл Прадель из Дармштадтского технического университета в Германии сообщили об обнаружении 25 ранее неизвестных уязвимостей в популярных модулях Node.js.

Эксперты опубликовали список этих модулей и брешей в них:

Исследователи полагают, что злоумышленник может создать специальные эксплойты для атаки сайтов с помощью любой из этих 25 библиотек.

Эксперты проверили 2 846 популярных сайта, из которых 339 (12 %) оказались уязвимы хотя бы перед одной ReDoS-уязвимостью.

Стайцу и Прадель опубликовали POC-код, доказывающий наличие проблемы, на GitHub.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры готовит ужесточение критериев для реестрового ПО
Яков Шпунт 20 Июня 2025 - 10:19
Соответствие законодательству РФ КорпорацииГосударство Соответствие требованиям регуляторов
Минцифры готовит ужесточение критериев для реестрового ПО

Минцифры совместно с представителями отрасли ведёт работу по ужесточению требований к программному обеспечению, претендующему на включение в Реестр российского ПО. В частности, такие продукты должны быть совместимы с отечественными операционными системами и процессорами.

Как сообщает «Коммерсантъ», переход на новые правила будет поэтапным. На первом этапе они затронут только операционные системы, а затем начнут применяться и к другим видам программного обеспечения.

В настоящее время около половины продуктов в Реестре работает исключительно в среде Windows.

Для реализации инициативы потребуются изменения в постановления правительства № 1236 и № 325, которые регламентируют требования к включению ПО в Реестр. Минцифры уже занимается подготовкой соответствующих поправок совместно с ИТ-сообществом. Впервые подобные предложения выдвигались ещё в 2023 году, но тогда не были приняты.

«Нововведения, предусмотренные документом, простимулируют разработчиков повышать зрелость собственных продуктов и создадут условия для более активного перехода госсектора на российские технологические решения», — прокомментировали в ведомстве, не раскрыв деталей.

По словам исполнительного директора АРПП «Отечественный софт» Рената Лашина, принятие новых требований позволит провести аудит программ в Реестре и подтвердить уровень компетенций российских разработчиков. Проверку будет проводить НИИ «Восход» — сначала она коснётся операционных систем, затем остальных решений.

Технический директор «Инферит Облако» (входит в ГК Softline) Сергей Андриевский считает, что основной причиной корректировки требований стал дефицит ресурсов у большинства разработчиков и недостаток технической базы, необходимой для быстрой адаптации продуктов. По его прогнозу, из Реестра может быть исключено значительное количество позиций.

Как отметил председатель совета директоров компании «Базальт СПО» Алексей Смирнов, сейчас примерно половина программ в Реестре не имеет совместимости с российскими ОС. С такой оценкой согласны и другие эксперты. При этом, как уточняет заместитель генерального директора компании «Ред Софт» Рустам Рустамов, портирование программ на отечественные операционные системы — задача крайне трудоёмкая, порой сравнимая с разработкой продукта с нуля. Тем не менее, её выполнение считается необходимым.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Solar inRights 3.7 добавлены SDK и улучшена интеграция с 1С и AD
Новость
В Solar inRights 3.7 добавлены SDK и улучшена интеграция с 1...
12 пиратских CDN кормят 90% онлайн-пиратов в России
Новость
12 пиратских CDN кормят 90% онлайн-пиратов в России
Блокировки в Telegram снизили число утечек БД российских компаний
Новость
Блокировки в Telegram снизили число утечек БД российских ком...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.