意大利網(wǎng)絡安全公司Swascan 發(fā)現(xiàn)了華為Web應用程序中的漏洞。

Swascan表示，它已經(jīng)確定了華為Web應用程序中屬于“ CWE”類別的三個漏洞(CWE代表“常見弱點薪酬”)，例如在內(nèi)存緩沖區(qū)范圍內(nèi)操作限制不當(CWE-119)， -邊界讀取(CWE-125)和OS命令注入(CWE-78)。Swascan已將這些漏洞通知華為，希望該公司加強其網(wǎng)絡安全性。這家意大利網(wǎng)絡安全公司表示，在當今的網(wǎng)絡攻擊時代，軟件和網(wǎng)絡安全公司之間需要合作。

當某人可以寫入超出內(nèi)存緩沖區(qū)的位置(即存儲和傳輸數(shù)據(jù)的位置)時，會在內(nèi)存緩沖區(qū)(CWE-119)的范圍內(nèi)對操作進行不適當?shù)南拗?。獲得此許可的黑客可以執(zhí)行任意代碼，從而允許他或她對應用程序執(zhí)行他想做的任何事情，例如覆蓋對安全至關重要的數(shù)據(jù)，這些數(shù)據(jù)將拒絕非管理員的某些權(quán)限。

這種努力可能導致計算指令的覆蓋，相關內(nèi)存的損壞以及崩潰。結(jié)果可能會泄露敏感信息，例如緩沖區(qū)(數(shù)據(jù)所在的位置)在內(nèi)存中的位置，從而使黑客可以計劃進一步的攻擊，以抓住更多敏感信息。黑客可能會創(chuàng)建一個無限循環(huán)，在該循環(huán)中，程序會無限次遍歷屏幕上的同一件事。

當軟件讀取超出預期的緩沖區(qū)時，當人們可以讀取超出存儲某些數(shù)據(jù)的數(shù)據(jù)位置時，就會發(fā)生越界讀取(CWE-125)。這可能會導致崩潰或從黑客不應該允許其進入的其他地方訪問敏感信息。

操作系統(tǒng)命令注入(CWE-78)聽起來很像：駭客將命令注入操作系統(tǒng)的一種方式，使得惡意活動似乎源自應用程序或其所有者，而不是惡意黑客。OS Command Injection等同于電話robocall呼叫者，他們“欺騙”號碼以使其看起來好像本地號碼甚至您自己的號碼正在呼叫您(當呼叫完全來自另一個號碼時)。OS命令注入背后的危險在于，黑客可能會禁用軟件(OS)或讀取和更改本應禁止訪問Web應用程序以外的用戶訪問的數(shù)據(jù)。