Šiandieniniame skaitmeniniame pasaulyje, kur automatizavimas ir scenarijus yra būtini kūrėjams, Saugumas išlieka svarbus rūpestis. Vienas iš paprasčiausių būdų diegti kūrėjų įrankius yra scenarijai, atsisiųsti tiesiai iš interneto. Tačiau šis patogumas taip pat kyla su būdinga rizika, ypač kai reikia spręsti išorinius šaltinius.
„Web3J“ yra į saugumą orientuotas projektas. Reikėjo sumažinti riziką iš veikiančių montuotojų scenarijų. Tai apima apsaugą nuo nuotolinio kodo vykdymo (RCE) grėsmės.
Problema: patogumo rizika
„Web3J“ teikia diegimo scenarijus, kad kūrėjams būtų lengviau sąranka. Paprastai vartotojai gali vykdyti šias komandas, norėdami įdiegti „Web3J“:
„MacOS“/„Linux“:
curl -L get.web3j.io | sh
„Windows“:
Set-ExecutionPolicy Bypass -Scope Process -Force; iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/hyperledger/web3j-installer/main/installer.ps1'))Nors šios komandos diegimą leidžia greitai ir be vargo, jos pristato rimtą saugumo pažeidžiamumą: Jei kenksmingas aktorius įgyja prieigą prie scenarijaus modifikavimo šaltinyje, jis gali įšvirkšti kenksmingą kodą. Vartotojai, nesąmoningai vykdantys šiuos pažeistus scenarijus, gali atskleisti savo mašinas nuotolinio kodo vykdymo (RCE). Tai galėtų leisti užpuolikams kontroliuoti.
Sprendimas: įmontuota kontrolinės sumos patikrinimas
Norėdami išspręsti šį pažeidžiamumą, mes pristatėme SHA256 kontrolinės sumos patikrinimas į patį „Web3J“ diegimo scenarijų. Tai reiškia, kad vartotojams nebereikia rankiniu būdu patikrinti kontrolinės sumos –scenarijus dabar patikrina savo vientisumą prieš vykdant. Šis integruotas patikrinimas užtikrina, kad scenarijus automatiškai patikrina, ar jis buvo modifikuotas. Tai neleidžia vykdyti bet kokio potencialiai kenksmingo kodo.
Nors scenarijus atlieka savo patikrinimą, mes taip pat viešai teikiame „CheckSum“ vertes, kad vartotojai galėtų savarankiškai jas patikrinti, ar jie nori tai padaryti. Tai Dvigubas saugumo sluoksnis yra labai svarbus aplinkoje, kur reikalingi griežti patikrinimo procesai.
Diegimo scenarijų kontrolinės sumos vertės saugomos šiuose failuose:
Norėdami patikrinti kontrolinę sumą rankiniu būdu, galite paleisti šias savo atitinkamos operacinės sistemos komandas:
MACOS:
sed '/^CHECKSUM_URL=/d' installer.sh | shasum -a 256 | awk '{print $1}'
„Linux“:
sed '/^CHECKSUM_URL=/d' installer.sh | sha256sum | awk '{print $1}'
„Windows“:
Get-Content "installer.ps1" | ForEach-Object { $_ -replace "`r", "" } | Where-Object { $_ -notmatch '^(\s)*\$ChecksumUrl' } | Out-StringPaleidus komandą, Palyginkite išėjimo maišos su atitinkamu „CheckSum“ failu Iš „Web3J GitHub“ saugyklos. Jei jie sutampa, scenarijų saugu paleisti. Jei ne, venkite scenarijaus ir nedelsdami praneškite apie problemą.
Kodėl svarbu išspręsti šią problemą
RCE rizikos sprendimas yra labai svarbus, nes jis daro tiesioginį poveikį mašinų, paleidžiančių „Web3J“ scenarijus, saugumą. Pagal pažeistą scenarijų užpuolikas gali vykdyti savavališkas komandas aukos mašinoje. Tai gali sukelti duomenų pažeidimus, kenkėjiškų programų diegimą ar bendrą sistemos kompromisą.
Įdiegę kontrolinės sumos patikrinimą scenarijuje ir siūlydami rankinio patikrinimo parinktį, mes labai Sumažinkite kenkėjiškų scenarijų vykdymo riziką. Tai užtikrina, kad „Web3J“ bendruomenė išliks saugi ir saugi.
Nuolatiniai atnaujinimai, kad būtų užtikrintas saugumas
„Web3J“ lieka įsipareigojęs savo vartotojų saugumui. „Diegimo“ scenarijų kontrolinės sumos vertės bus atnaujintos, jei ateityje bus kokių nors scenarijaus pakeitimų. Vartotojai raginami prieš paleisti scenarijų visada patikrinti kontrolinę sumą, ypač atsisiųsdami naują kopiją.
Išvada
Apibendrinant galima pasakyti, kad nors montuotojo scenarijai yra patogus būdas pradėti naudotis „Web3J“, jie taip pat kelia potencialią riziką. Įvedę „CheckSum“ patikrinimą scenarijuje ir galimybe vartotojams rankiniu būdu patikrinti čekius, mes turime sustiprino visos „Web3J“ ekosistemos saugumą. Dabar vartotojai gali užtikrintai vykdyti diegimo scenarijų žinodami, kad jis yra autentiškas ir be klastojimo, apsaugo savo sistemas nuo galimų atakų.
Būkite saugūs ir visada patikrinkite!
