انتشار ابزار متن‌باز PathAuditor برای یافتن آسیب‌پذیری‌های دسترسی به فایل توسط گوگل

شرکت گوگل از انتشار کد منبع ابزاری برای کمک به توسعه‌دهندگان در شناسایی آسیب‌پذیری‌های مربوط به دسترسی به فایل، خبر داد. این ابزار که PathAuditor نام دارد، برای گوگل بسیار مفید بوده و این شرکت هم‌اکنون در نظر دارد تا آن را به‌عنوان یک ابزار متن‌باز منتشر کند. این غول فناوری هنوز هم به‌طور جدی بر روی PathAuditor کار می‌کند، اما امیدوار است تا انجمن‌ها نیز به بهبود آن کمک کند. بااین‌حال، گوگل خاطرنشان کرده است که این محصول به‌طور رسمی توسط این شرکت پشتیبانی نمی‌شود.

به گفته‌ی گوگل، آسیب‌پذیری دسترسی به فایل به مهاجمان اجازه می‌دهد تا کدهای مخرب را با امتیازات بالا اجرا کنند، به‌همین دلیل گوگل ابزار PathAuditor را منتشر کرده است تا به توسعه‌دهندگان در شناسایی الگوهای دستیابی به مسیرهای ناامن که منجر به شناسایی نقاط ضعف سیستم می‌شوند، کمک کند.

ابزار PathAuditor یک کتابخانه‌ی اشتراکی است که می‌تواند با متغیر LD_PRELOAD در فرآیندها بارگذاری شده و توابع libc مربوط به سیستم فایل را ممیزی کند. این ابزار همچنین بررسی می‌کند که یک کاربر unprivileged می‌تواند یک فایل یا داکتوری را با یک (symlink)، که می‌تواند نشان‌دهنده‌ی یک آسیب‌پذیری باشد، جایگزین کند یا خیر. گوگل همچنین دستورالعمل‌هایی را برای استفاده از این ابزار ارائه داده و نمونه‌ای از آسیب‌پذیری را که می‌توان با PathAuditor شناسایی کرد، به اشتراک گذاشته است. کد منبع این ابزار بر روی گیت‌هاب موجود است.

منبع

پست‌های مشابه

Leave a Comment