Python社区  »  Python

恶意mitmproxy2 Python包被移除

嘶吼专业版 • 1 周前 • 15 次点击  

PyPI近日移除了恶意mitmproxy2 Python包。

mitmproxy2

官方mitmproxy Python库是一个免费、开源的交互式HTTPS代理,每周下载量超过4万次。10月11日,mitmproxy的开发者之一Maximilian Hils发推警示用户近日上传到PyPI的mitmproxy2包,称该包与mitmproxy是一样的,但其中包含一个(人为嵌入的)远程代码执行漏洞。

Hils的本意是向软件开发者提出警告,使得开发者不要错误地将'mitmproxy2'当做是'mitmproxy'的新版本,而其开发的应用中引入不安全的代码。

mitmproxy2 pypi页面

Hils意外发现了mitmproxy2 Python包,经过与mitmproxy对比发现,mitmproxy2中移除了API的所有安全措施:

'mitmproxy2'移除了API防护

当用户运行mitmproxy的web接口时,只会暴露HTTP API。但是从API中移除了防护措施后,处于同一网络中的所有人都可以用一个简单的HTTP请求在受害者机器上执行代码。

目前还不清楚发布'mitmproxy2'包的用户是处于恶意目的还是由于不安全的编码导致移除了API防护。

mitmproxy-iframe

随后,PyPI移除了mitmproxy2。但就在mitmproxy2被移除后不到1天的时间,BleepingComputer研究人员又在PyPI中发现了一个名为mitmproxy-iframe的包。该包也是官方mitmproxy包的复制版本,但是也从app.py文件中移除了mitmproxy2中移除的防护措施。

'mitmproxy-iframe' 包代码

此外,mitmproxy-iframe与mitmproxy2的发布者是同一个人。那么该用户的意图就很清楚了。

参考及来源:https://www.bleepingcomputer.com/news/security/pypi-removes-mitmproxy2-over-code-execution-concerns/

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/121344
 
15 次点击  
分享到微博