即使是使用安全開發(fā)程序構(gòu)建的軟件耕赘,由于其所依賴的解釋性編程語言的缺陷桶癣,仍然容易受到攻擊翠储。
在上周舉行的 Black Hat Europe 大會上筐乳,IOActive 研究人員 Fernando Arnaboldi 稱隘马,他發(fā)現(xiàn) 5 種流行編程語言解釋器中的嚴重漏洞野宜,會讓使用這些語言開發(fā)的應用更易受到攻擊扫步。
Arnaboldi 的發(fā)現(xiàn)如下:
Python 有未記錄的方法和環(huán)境變量能被用于 OS 命令執(zhí)行;
NodeJS 作為 JavaScript 解釋器匈子, 會通過其輸出的錯誤信息暴露文件內(nèi)容河胎;
Ruby 的 Java 實現(xiàn) JRuby 會在一個并非設(shè)計遠程代碼執(zhí)行的函數(shù)上加載和執(zhí)行遠程代碼;
PHP 中虎敦,某些本地函數(shù)可以傳遞一個常量的名字來執(zhí)行遠程命令執(zhí)行游岳。
Perl 中有一種可執(zhí)行如 eval() 的 typemap 函數(shù)
編譯自:ZDNet
