DEVSECOPS_WEEKLY Telegram 1307
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1307
DevSecOps Talks
Netflix и Dependency Confusion

Всем привет!

Зачем смотреть Netflix, когда можно его «сломать»? Примерно такие мысли были у Автора статьи, когда он решил проверить: получится ли использовать атаку Dependency Confusion против IT-гиганта?

Dependency confusion это по сути подмена: вместо «целевой» библиотеки (например, npm илт PyPi) пользователь получает ту, что собрал злоумышленник.

Однако, какую именно библиотеку надо «подменять»? Это можно посмотреть в манифесте (который неоткуда взять) или воспользоваться «доступными средствами». Именно второй путь и выбрал Автор.

Он реализовал следующий алгоритм:
🍭 Запись HAR-файла, в котором были все запросы и ответы веб-сессии
🍭 Анализ полученных данных
🍭 Идентификация скачанных файлов
🍭 Проверка того, что скачанные библиотеки (не) доступны в публичных реестрах, что есть более новые версии и т.д.

Спустя некоторое время Автору повезло и он нашел nf-cl-logger.

«Вряд ли Netflix ходит во вне за пакетами». «А вдруг есть ошибки в настройках ноутбука разработчика или инженера?». Интерес взял верх ☺️

Payload использовался крайне простой – получение обычной информации о рабочей станции. Просто проверка гипотезы. И она была подтверждена. Притом достаточно быстро!

Ну а подробности, как обычно, в статье. Приятного чтения! ☺️
2005❤‍🔥4👍1🔥1
www.tgoop.com/devsecops_weekly/1307
2.61K views



tgoop.com/devsecops_weekly/1307
Create:
Last Update:

Netflix и Dependency Confusion

Всем привет!

Зачем смотреть Netflix, когда можно его «сломать»? Примерно такие мысли были у Автора статьи, когда он решил проверить: получится ли использовать атаку Dependency Confusion против IT-гиганта?

Dependency confusion это по сути подмена: вместо «целевой» библиотеки (например, npm илт PyPi) пользователь получает ту, что собрал злоумышленник.

Однако, какую именно библиотеку надо «подменять»? Это можно посмотреть в манифесте (который неоткуда взять) или воспользоваться «доступными средствами». Именно второй путь и выбрал Автор.

Он реализовал следующий алгоритм:
🍭 Запись HAR-файла, в котором были все запросы и ответы веб-сессии
🍭 Анализ полученных данных
🍭 Идентификация скачанных файлов
🍭 Проверка того, что скачанные библиотеки (не) доступны в публичных реестрах, что есть более новые версии и т.д.

Спустя некоторое время Автору повезло и он нашел nf-cl-logger.

«Вряд ли Netflix ходит во вне за пакетами». «А вдруг есть ошибки в настройках ноутбука разработчика или инженера?». Интерес взял верх ☺️

Payload использовался крайне простой – получение обычной информации о рабочей станции. Просто проверка гипотезы. И она была подтверждена. Притом достаточно быстро!

Ну а подробности, как обычно, в статье. Приятного чтения! ☺️

BY DevSecOps Talks


Share with your friend now:
tgoop.com/devsecops_weekly/1307

View MORE
Open in Telegram


Telegram News

Date: |

The optimal dimension of the avatar on Telegram is 512px by 512px, and it’s recommended to use PNG format to deliver an unpixelated avatar. How to Create a Private or Public Channel on Telegram? Each account can create up to 10 public channels To edit your name or bio, click the Menu icon and select “Manage Channel.” With the sharp downturn in the crypto market, yelling has become a coping mechanism for many crypto traders. This screaming therapy became popular after the surge of Goblintown Ethereum NFTs at the end of May or early June. Here, holders made incoherent groaning sounds in late-night Twitter spaces. They also role-played as urine-loving Goblin creatures.
from us


Netflix и Dependency Confusion

 DevSecOps Talks TG
web: 1307
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American