„Web3j“ kontrolinės sumos patvirtinimas: apsauga nuo atakų


Šiuolaikiniame skaitmeniniame pasaulyje, kur automatizavimas ir scenarijų kūrimas yra būtini kūrėjams, saugumas tebėra svarbiausias rūpestis. Vienas iš paprasčiausių būdų įdiegti kūrėjo įrankius yra scenarijai, atsisiunčiami tiesiai iš interneto. Tačiau šis patogumas taip pat susijęs su būdinga rizika, ypač dirbant su išoriniais šaltiniais.

Web3j yra į saugumą skirtas projektas. Ji ėmėsi veiksmų, kad sumažintų riziką, susijusią su diegimo programos scenarijų vykdymu. Tai apima apsaugą nuo nuotolinio kodo vykdymo (RCE) grėsmių.

Problema: patogumo rizika

Web3j pateikia diegimo scenarijus, kad kūrėjams būtų lengviau nustatyti. Paprastai vartotojai gali paleisti šias komandas, kad įdiegtų Web3j:

„MacOS“ / „Linux“ sistemoje:

curl -L get.web3j.io | sh

Sistemoje Windows:

Set-ExecutionPolicy Bypass -Scope Process -Force; iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/hyperledger/web3j-installer/main/installer.ps1'))

Nors šios komandos leidžia greitai ir lengvai įdiegti, jos sukelia rimtą saugos pažeidžiamumą: jei kenkėjiškas veikėjas gauna prieigą modifikuoti scenarijų prie šaltinio, jis gali suleisti kenkėjišką kodą. Vartotojai, kurie nesąmoningai paleidžia šiuos pažeistus scenarijus, savo kompiuteriuose gali naudoti nuotolinį kodo vykdymą (RCE). Tai gali leisti užpuolikams perimti kontrolę.

Sprendimas: integruotas kontrolinės sumos patikrinimas

Siekdami pašalinti šį pažeidžiamumą, pristatėme SHA256 kontrolinės sumos patikrinimas į patį Web3j diegimo scenarijų. Tai reiškia, kad vartotojams nebereikia rankiniu būdu tikrinti kontrolinės sumos –Dabar scenarijus prieš vykdydamas patikrina savo vientisumą. Šis integruotas patikrinimas užtikrina, kad scenarijus automatiškai patikrintų, ar jis nebuvo pakeistas. Tai neleidžia vykdyti bet kokio potencialiai kenksmingo kodo.

Rankinis kontrolinės sumos patikrinimas, siekiant užtikrinti papildomą saugumą

Nors scenarijus atlieka savo patikrinimą, mes taip pat viešai pateikiame kontrolinės sumos reikšmes, kad naudotojai galėtų savarankiškai jas patvirtinti, jei nori tai padaryti. Tai Dvigubas saugumo lygis yra labai svarbus aplinkose, kur reikalingi griežti tikrinimo procesai.

Diegimo scenarijų kontrolinės sumos reikšmės saugomos šiuose failuose:

Norėdami rankiniu būdu patikrinti kontrolinę sumą, galite paleisti šias atitinkamos operacinės sistemos komandas:

„MacOS“:

sed '/^CHECKSUM_URL=/d' installer.sh | shasum -a 256 | awk '{print $1}'

„Linux“:

sed '/^CHECKSUM_URL=/d' installer.sh | sha256sum | awk '{print $1}'

For Windows:
Get-Content "installer.ps1" | ForEach-Object { $_ -replace "`r", "" } | Where-Object { $_ -notmatch '^(\s)*\$ChecksumUrl' } | Out-String

Paleidus komandą, palyginkite išvesties maišą su atitinkamu kontrolinės sumos failu iš Web3j GitHub saugyklos. Jei jie sutampa, scenarijų saugu paleisti. Jei ne, nevykdykite scenarijaus ir nedelsdami praneškite apie problemą.

Kodėl svarbu išspręsti šią problemą

Spręsti RCE riziką yra labai svarbu, nes tai tiesiogiai veikia įrenginių, kuriuose vykdomi Web3j scenarijai, saugumui.. Esant pažeistam scenarijui, užpuolikas aukos kompiuteryje gali vykdyti savavališkas komandas. Tai gali sukelti duomenų pažeidimus, kenkėjiškų programų įdiegimą arba visišką sistemos pažeidimą.

Įdiegę kontrolinės sumos tikrinimą scenarijuje ir pasiūlydami neautomatinio tikrinimo parinktį, mes labai sumažinti kenkėjiškų scenarijų vykdymo riziką. Tai užtikrina, kad Web3j bendruomenė išliks saugi ir saugi.

Nuolatiniai atnaujinimai, siekiant užtikrinti saugumą

„Web3j“ išlieka įsipareigojęs užtikrinti savo vartotojų saugumą. Jei ateityje bus kokių nors scenarijaus pakeitimų, diegimo programos scenarijų kontrolinės sumos reikšmės bus atnaujintos. Vartotojai raginami prieš paleisdami scenarijų visada patikrinti kontrolinę sumą, ypač atsisiuntus naują kopiją.

Išvada

Apibendrinant galima pasakyti, kad nors diegimo programos scenarijai yra patogus būdas pradėti naudotis Web3j, jie taip pat kelia galimą riziką. Scenarijuje įdiegę kontrolinės sumos tikrinimą ir galimybę vartotojams rankiniu būdu patikrinti kontrolines sumas, turime sustiprino visos Web3j ekosistemos saugumą. Dabar vartotojai gali užtikrintai vykdyti diegimo scenarijų, žinodami, kad jis autentiškas ir be klastojimo, taip apsaugodamas savo sistemas nuo galimų atakų.

Būkite saugūs ir visada patikrinkite!





Source link

Draugai: - Marketingo paslaugos - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Karščiausios naujienos - Ultragarsinis tyrimas - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai -  Padelio treniruotės - Pranešimai spaudai -