代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息
据外媒报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题。
2 月 18 号的时候,在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事。但实际上,这个缺陷或许可以追溯至去年 9 月 22 号。
CloudFlare 表示,规模最大的一次信息泄露始于 2 月 13 日,当时发生的代码异动表明每秒 3,300,300 次的 HTTP 请求可能导致了内存溢出。
在被缓存的数据中,Ormandy 看到了某约会站点上的预订酒店和密码等完整信息。他在 2 月 19 号写到:
我不知道 CloudFlare 背后究竟有多少互联网站点,直到发生了这件事。这包括完整的 https 请求、客户端 IP 地址、完整的响应、cookies、密码、键值、日期等一切内容。
在 Ormandy 发布了推文之后,CloudFlare 工程师禁用了导致出现问题的三项功能代码,并与搜索引擎方携手清理缓存信息。
据了解,Cloudflare 的 EmailObfuscation、Server-SideExcludes 和 AutomaticHTTPS Rewrites 这些函数正是此次泄露的罪魁祸首。
这家公司决定为其边缘服务器开发一个新的 HTML 解析器时,问题就出现了。该解析器是使用 Ragel 编写的,随后转变成机器生成的 C 代码。这段代码存在页面上不成对出现的 HTML 标签触发的缓冲区溢出安全漏洞。这个有缺陷的指针检查源代码本该阻止程序覆盖内存内容:
/*generated code. p = pointer, pe = end of buffer */
if( ++p == pe )
goto _test_eof;结果发生的一幕是,在别的地方,p 变得大于 pe,因而避免了长度检查,让缓冲区得以溢出额外的信息。这最终导致了 Web 会话泄露。
本文来自开源中国社区 [http://www.oschina.net]
代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息相关推荐
- php私密留言,WordPress站点给文章增加私密留言评论功能的教程
Nana主题增加私密留言评论的功能步骤 1.打开 Nana主题的 functions.php 文件,在最后一个 ?> 的前面添加以下代码: //私密评论 function liao_privat ...
- Cloudflare泄露客户数据,IT部门可从中吸取什么教训?
网站和手机应用程序信息在哪里泄露?无人知晓.但是,IT部门应该考虑怎样做才能确保信息安全. 如何解除恶意软件 一旦信息暴露于互联网,就会永远留在那里.虽然内容分发网络服务提供商Cloudflare已经 ...
- ios代码中的内存泄露,内存检测工具leaks 检测不出来
iphone开发过程中,代码中的内存泄露我们很容易用内存检测工具leaks 检测出来,并一一改之,但有些是因为ios 的缺陷和用法上的错误,leaks 检测工具并不能检测出来,你只会看到大量的内存被使 ...
- 社保系统漏洞或因代码缺陷 网络安全如何攻防?
4月22日,大量社保系统相关漏洞出现在补天漏洞响应平台上. 补天漏洞响应平台发布信息称,社保系统.户籍查询系统.疾控中心.医院等大量爆出高危漏洞的省市已经超过30个,包括重庆.上海.河南等,涉及用户数 ...
- 什么是内存溢出与内存泄露,几种常见导致内存泄露的写法
最近朋友推荐了一篇关于内存溢出与内存泄漏的文章,感觉写的还不错,于是便在网上搜索了一番,对这块进行了加固,发现自己之前写的代码也存在一些内存泄漏的风险,所以弄懂内存泄漏与内存溢出是很有利于我们提高代码 ...
- android开发中,可能会导致内存泄露的问题
转自 : http://spencer-dev.lofter.com/post/d7b9e_6faf120 在android编码中,会有一些简便的写法和编码习惯,会导致我们的代码有很多内存泄露的问题. ...
- idea2020shezhi代码检查级别_ICT技术:阿里巴巴代码缺陷检测探索与实践
目前PRECFIX技术已经在阿里巴巴集团内部落地并获得好评,关于"PRECFIX"技术的论文被国际软件工程大会(ICSE)收录. 张昕东(别象) 阿里巴巴 云研发事业部 算法工程师 ...
- 使用ThreadLocal不当可能会导致内存泄露
使用ThreadLocal不当可能会导致内存泄露 基础篇已经讲解了ThreadLocal的原理,本节着重来讲解下使用ThreadLocal会导致内存泄露的原因,并讲解使用ThreadLocal导致内存 ...
- VC 2010的MFC函数,CMFCVisualManager::GetInstance()可能导致内存泄露
今天在网上看到一篇文章,关于CMFCVisualManager的内存泄露问题( 链接是 http://zhanyonhu.blog.163.com/blog/static/16186044201132 ...
最新文章
- 摘要注释_论文摘要怎么写,小编来帮你
- GDCM:读取和转储DICOMDIR文件的测试程序
- list ajax封装,util-pagelist_基于layui封装的ajax分页列表
- 虚拟化部署之Windows 7中远程管理Hyper-V
- python调用外部程序 退出_Python调用外部程序——os.system()和subprocess.call
- ModuleNotFoundError: No module named ‘pip‘
- 百亿流量系统,是如何从0开始搭建的?
- Linux - Yocto: 创建toolchain
- c语言编程实现基2-fft,fft算法研究及基2fft算法的c语言实现.doc
- 思科ccnp认证工程师必看
- python中def fun()是什么意思_python def 参数
- 详解 C语言 青蛙跳台阶问题
- 网络文件夹共享服务器,五个最佳网络文件共享服务
- 《测绘综合能力》真题易错本
- 在线诱舞坊字体转换FLASH工具 QQ空间专用字体转换器
- django基于python的平南盛世名城小区疫情防控系统--python-计算机毕业设计
- future cancel失败一例
- 对不起,我现在喜欢划船了,不喜欢爬山了
- token值过期的处理
- RTSP 流媒体播放地址