DEVSECOPS_WEEKLY Telegram 1307
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1307
DevSecOps Talks
Netflix и Dependency Confusion

Всем привет!

Зачем смотреть Netflix, когда можно его «сломать»? Примерно такие мысли были у Автора статьи, когда он решил проверить: получится ли использовать атаку Dependency Confusion против IT-гиганта?

Dependency confusion это по сути подмена: вместо «целевой» библиотеки (например, npm илт PyPi) пользователь получает ту, что собрал злоумышленник.

Однако, какую именно библиотеку надо «подменять»? Это можно посмотреть в манифесте (который неоткуда взять) или воспользоваться «доступными средствами». Именно второй путь и выбрал Автор.

Он реализовал следующий алгоритм:
🍭 Запись HAR-файла, в котором были все запросы и ответы веб-сессии
🍭 Анализ полученных данных
🍭 Идентификация скачанных файлов
🍭 Проверка того, что скачанные библиотеки (не) доступны в публичных реестрах, что есть более новые версии и т.д.

Спустя некоторое время Автору повезло и он нашел nf-cl-logger.

«Вряд ли Netflix ходит во вне за пакетами». «А вдруг есть ошибки в настройках ноутбука разработчика или инженера?». Интерес взял верх ☺️

Payload использовался крайне простой – получение обычной информации о рабочей станции. Просто проверка гипотезы. И она была подтверждена. Притом достаточно быстро!

Ну а подробности, как обычно, в статье. Приятного чтения! ☺️
2005❤‍🔥4👍1🔥1
www.tgoop.com/devsecops_weekly/1307
2.61K views



tgoop.com/devsecops_weekly/1307
Create:
Last Update:

Netflix и Dependency Confusion

Всем привет!

Зачем смотреть Netflix, когда можно его «сломать»? Примерно такие мысли были у Автора статьи, когда он решил проверить: получится ли использовать атаку Dependency Confusion против IT-гиганта?

Dependency confusion это по сути подмена: вместо «целевой» библиотеки (например, npm илт PyPi) пользователь получает ту, что собрал злоумышленник.

Однако, какую именно библиотеку надо «подменять»? Это можно посмотреть в манифесте (который неоткуда взять) или воспользоваться «доступными средствами». Именно второй путь и выбрал Автор.

Он реализовал следующий алгоритм:
🍭 Запись HAR-файла, в котором были все запросы и ответы веб-сессии
🍭 Анализ полученных данных
🍭 Идентификация скачанных файлов
🍭 Проверка того, что скачанные библиотеки (не) доступны в публичных реестрах, что есть более новые версии и т.д.

Спустя некоторое время Автору повезло и он нашел nf-cl-logger.

«Вряд ли Netflix ходит во вне за пакетами». «А вдруг есть ошибки в настройках ноутбука разработчика или инженера?». Интерес взял верх ☺️

Payload использовался крайне простой – получение обычной информации о рабочей станции. Просто проверка гипотезы. И она была подтверждена. Притом достаточно быстро!

Ну а подробности, как обычно, в статье. Приятного чтения! ☺️

BY DevSecOps Talks


Share with your friend now:
tgoop.com/devsecops_weekly/1307

View MORE
Open in Telegram


Telegram News

Date: |

Healing through screaming therapy A few years ago, you had to use a special bot to run a poll on Telegram. Now you can easily do that yourself in two clicks. Hit the Menu icon and select “Create Poll.” Write your question and add up to 10 options. Running polls is a powerful strategy for getting feedback from your audience. If you’re considering the possibility of modifying your channel in any way, be sure to ask your subscribers’ opinions first. Developing social channels based on exchanging a single message isn’t exactly new, of course. Back in 2014, the “Yo” app was launched with the sole purpose of enabling users to send each other the greeting “Yo.” While the character limit is 255, try to fit into 200 characters. This way, users will be able to take in your text fast and efficiently. Reveal the essence of your channel and provide contact information. For example, you can add a bot name, link to your pricing plans, etc. 4How to customize a Telegram channel?
from us


Netflix и Dependency Confusion

 DevSecOps Talks TG
web: 1307
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American