Баги в библиотеках для парсинга URL грозят DoS, утечками данных и RCE

Екатерина Быстрова 11 Января 2022 - 10:14

...

Баги в библиотеках для парсинга URL грозят DoS, утечками данных и RCE

16 популярных сторонних библиотек для парсинга URL страдают от серьёзных проблем в безопасности. Эти восемь уязвимостей, по мнению экспертов, могут затрагивать множество современных веб-приложений.

Выявленные бреши могут привести к DoS, утечкам информации и даже удалённому выполнению кода (RCE) в различных приложениях. Баги обнаружились в сторонних пакетах, которые потенциально могли импортировать в сотни или даже тысячи веб-приложений и проектов.

Например, среди затронутого софта исследователи выделили Flask (написанный на Python фреймворк), Video.js (HTML5-видеоплеер), Belledonne (бесплатная VoIP и IP-телефония), Nagios XI (софт для мониторинга сети) и Clearance (парольная аутентификация на Ruby).

URL-парсинг представляет собой процесс разбивки веб-адреса на ключевые компоненты. Это нужно для того, чтобы трафик направлялся корректно между серверами и различными ссылками. Предназначенные для этого библиотеки, как правило, импортируются в приложения, чтобы обеспечить им описанные выше возможности.

«URL обычно состоят из пяти основных компонентов: схема, путь, запрос и фрагмент. Каждый из этих компонентов выполняет свою задачу», — пишут в отчёте специалисты Claroty Team82.

Согласно анализу экспертов, уязвимости возникли благодаря различиям в методе каждой библиотеки. Исследователи изучили в совокупности 16 различных библиотек, среди которых можно отметить urllib (Python), urllib3 (Python), rfc3986 (Python), httptools (Python), curl lib (cURL), Wget, Chrome (Browser), Uri (.NET), URL (Java), URI (Java), parse_url (PHP), url (NodeJS), url-parse (NodeJS), net/url (Go), uri (Ruby) и URI (Perl).

В ходе анализа специалисты выявили пять категорий несоответствий в методе парсинга компонентов: Scheme Confusion, Slash Confusion, Backslash Confusion, URL Encoded Data Confusion, Scheme Mix-ups. Проблема в том, что такие несоответствия могут создать уязвимые блоки кода.

Например, «slash confusion» может привести к появлению багов класса SSRF, а их уже злоумышленник может использовать для выполнения удалённого кода. Оказалось, что разные библиотеки для парсинга URL по-разному обрабатывают ссылки с большим количеством слешей: кто-то игнорирует дополнительный слеш, кто-то передаёт URL без хоста.

В общей сложности исследователи выделили восемь потенциальных уязвимостей в сторонних веб-приложениях. Их список выглядит так:

Открытый редирект Flask-security (Python, CVE-2021-23385)
Открытый редирект Flask-security-too (Python, CVE-2021-32618)
Открытый редирект Flask-User (Python, CVE-2021-23401)
Открытый редирект Flask-unchained (Python, CVE-2021-23393)
Belledonne’s SIP Stack null pointer dereference (DoS) (C, CVE-2021-33056)
Межсайтовый скриптинг Video.js (XSS) (JavaScript, CVE-2021-23414)
Открытый редирект Nagios XI (PHP, CVE-2021-37352)
Открытый редирект Clearance (Ruby, CVE-2021-23435)

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Мая 2026 - 15:32

Соответствие законодательству РФ Корпорации Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Маркетплейсы потеряли до 10% трафика после блокировки VPN

Российские маркетплейсы в апреле столкнулись с падением пользовательской активности после новых ограничений на VPN-трафик. Больше всего досталось Wildberries: по оценкам экспертов, мобильный веб-трафик площадки за месяц сократился на 10%, а десктопный — на 6%.

Об этом пишет «Коммерсантъ» со ссылкой на данные Digital Budget. У Ozon и «Яндекс Маркета» мобильный трафик в апреле снизился на 3%, у «Авито» — на 1,5%. На десктопе картина мягче: у Ozon трафик даже вырос на 1%, у «Авито» — на 2%, а у «Яндекс Маркета» — сразу на 26%. Но Wildberries оказался в минусе и там.

Причину участники рынка связывают с требованием Минцифры ограничивать доступ к российским платформам через VPN. В конце марта стало известно, что ИТ-компании, которые не будут блокировать такой трафик, могут лишиться места в профильном реестре министерства. А заодно — вылететь из «белого списка» сайтов, доступных при отключении интернета.

Проблема в том, что многие пользователи держат VPN включённым постоянно, не специально ради маркетплейсов, а просто в фоне для других сервисов. В итоге человек открывает приложение, видит сбои, задержки или недоступность, закрывает его и идёт заниматься жизнью. Корзина подождёт, продавцы — нет.

По оценке Strategy Partners, трафик приложений маркетплейсов в апреле сократился на 2-10% в зависимости от площадки. Продажи могли просесть до 4%, поскольку активное ядро покупателей всё же остаётся. Но для отрасли даже такие проценты — не мелочь.

По оценкам селлеров, падение выручки в апреле составило от 3% до 30% по сравнению с мартом. Они напрямую связывают это с блокировками VPN. Операционный директор «Рейтинга Рунета» Анатолий Денисов оценивает возможные денежные потери площадок примерно в 1%. Если пересчитать на общий объём продаж маркетплейсов в 2025 году — 8,59 трлн рублей, — речь может идти примерно о 7 млрд рублей.

В Ассоциации компаний интернет-торговли считают, что ограничения VPN-трафика усложняют доступ к российским сервисам как для покупателей внутри страны, так и за рубежом. А это уже бьёт не только по удобству, но и по конкурентоспособности площадок.

Отдельно эксперты отмечают, что лучше держатся сервисы внутри крупных экосистем. Например, «Яндекс Маркет» мог частично компенсировать потери за счёт поиска, браузера, рекламной сети и других продуктов «Яндекса». Если пользователь не пришёл через один вход, экосистема может аккуратно провести его через другой.

А вот площадки, которые сильнее зависят от внешнего трафика, рекламы в соцсетях и переходов из мессенджеров, оказываются уязвимее. Для них VPN-блокировки — это не просто техническая мера, а реальный удар по воронке продаж.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!