لدهشتها، اكتشف GitNFT ثغرة في GitHub سمحت للمستخدمين باستبدال Linus Torvalds كمؤلف لالتزامه الأول، بعنوان المراجعة الأولية لـ “git”، مدير المعلومات من الجحيم.
GitNFT، كما يوحي الاسم، عبارة عن منصة تسمح لمنشئي البرامج مفتوحة المصدر بإنشاء NFTs لالتزاماتهم على GitHub وبيعها في سوق OpenSea كفن.
لكن مطورًا يُدعى @nbanmp اكتشف خللًا في طريقة GitHub لتعيين مؤلف للبوابة، وقام بصك GitNFT منه يُدرج @nbanmp كمؤلف لمستودع Torvald. أبلغ المطور GitNFT، الذي اعتقد في البداية أنها مزحة – لكن لا. لقد كانوا قادرين على تكرار الاستغلال حيث جعل @VanTubor نفسه منشئ البوابة.
@VanTubor جعل من نفسه مبتكر مستودع Linus Torvalds.
كتب فريق GitNFT: “بحسب التصميم، ستسمح لك GitNFT فقط بصياغة NFTs للالتزامات التي قمت بتأليفها (أو شاركت في تأليفها).” “يتم التحقق من هوية GitHub للمؤلف من خلال OAuth، بينما يتم التحقق من صحة التأليف من خلال فحص استجابة الالتزام في REST API لـ GitHub.”
كتب الفريق أن هذا الاستغلال ممكن لأن طريقة GitHub لملء حقل المؤلف “زائفة”.
كتب GitNFT: “يسمح GitHub للمستخدمين بإضافة عناوين بريد إلكتروني إلى حساباتهم، لكنه لا يطلب من المستخدم التحقق من عنوان البريد الإلكتروني”. “عندما تحتوي عمليات التنفيذ على حقل مؤلف فارغ (وهذا هو الحال بالنسبة لعمليات تنفيذ المستودعات الشائعة التي تسبق تاريخ octocat)، سيقوم GitHub بملء المؤلف ببيانات أحدث حساب أضاف عنوان البريد الإلكتروني هذا، بغض النظر عما إذا كان تم التحقق من الحساب أم لا!
أرسل الفريق تقريرًا إلى GitHub من خلال HackerRank، لكنه لاحظ أنه تم وضع علامة عليه على أنه مغلق في غضون دقيقتين.
ماذا حدث لـ NFT الذي تم إنشاؤه @nbanmp؟ لا يزال موجودا.
وكتبوا: “من المؤكد أن مجموعتنا أصبحت الآن مشوهة بسبب NFT الغريب لـ @nbanmp”. “ومع ذلك، فإننا نرى هذا النقص بمثابة إثراء لمجموعتنا لأنه يخلّد اكتشاف هذا الاستغلال، ونأمل أن يساعد في تحفيز حله.”
ولم يستجب GitHub لطلب التعليق حتى وقت النشر.
تطلق Netlify مساعدة النشر المدعمة بالذكاء الاصطناعي
قدمت منصة تطوير الويب Netlify مساعدة النشر المدعمة بالذكاء الاصطناعي يوم الخميس كأداة متاحة بشكل عام. إنه يستفيد من الذكاء الاصطناعي لتحليل عمليات النشر الفاشلة وتقديم اقتراحات لتصحيح الأخطاء.
“ونتيجة لذلك، يقلل المطورون بشكل كبير من الوقت الذي يقضونه في مراجعة السجلات يدويًا، مما يؤدي إلى زيادة الإنتاجية، وسير عمل أسرع وأكثر قابلية للتنبؤ به، وتجربة مطور أكثر إرضاءً”، حسبما ذكرت الشركة في بيان معد.
تعمل مساعدة نشر الذكاء الاصطناعي على تصحيح أخطاء عمليات الإنشاء الفاشلة وتقترح إصلاحات للحصول على تجربة مطور أسهل. كما أنه يساعد المطورين في الحصول على تعليقات جيدة بشأن الإصدارات الفاشلة لتمكين الإصلاحات السريعة للتعليمات البرمجية. وأضافت Netlify أن ذلك يمنع عمليات البناء الفاشلة من أن تصبح اختناقات.
دايتونا تصبح مفتوحة المصدر
قامت شركة Daytona، مديرة بيئة التطوير، بفتح مصدر قاعدة التعليمات البرمجية الخاصة بها بموجب ترخيص Apache 2.0. وقال إيفان برازين، المؤسس المشارك والرئيس التنفيذي لشركة Daytona، إن ذلك يوفر للمطورين “حرية غير محدودة لتعديل واستخدام Daytona كما تراه مناسبًا”.
وقال بورازين: “من خلال فتح قاعدة بيانات Daytona البرمجية، فإننا ندعو المطورين إلى المشاركة في إنشاء مستقبل بيئات التطوير معنا”. “إن الأدوات التي تشكل عالمنا الرقمي لن تظل محصورة خلف جدران الملكية. وبدلا من ذلك، سيتم تشكيلها من قبل الأشخاص الذين يستخدمونها، على مرأى ومسمع من المجتمع الذي يحتاج إليها.
تطلق دايتونا على نفسها اسم بديل Codespaces لإدارة بيئات التطوير ذاتية الاستضافة والآمنة والموحدة. يقوم بأتمتة العملية الكاملة لإعداد بيئة التطوير بما في ذلك:
- توفير المثيل؛
- تفسير وتطبيق التكوين؛
- إعداد الإنشاءات المسبقة؛
- إنشاء اتصال VPN آمن؛
- الاتصال بشكل آمن بـ IDE محلي أو ويب؛ و
- تعيين اسم مجال مؤهل بالكامل لبيئة التطوير لدعم المشاركة والتعاون.
باراكودا: زيادة الهجمات على تطبيقات الويب وواجهات برمجة التطبيقات
ونجحت شركة باراكودا في تخفيف أكثر من 18 مليار هجوم ضد التطبيقات خلال عام 2023، بما في ذلك 1.716 مليار هجوم في ديسمبر وحده، وفقًا لشركة أمن تكنولوجيا المعلومات. وذكرت الشركة بشكل عام أن الهجمات على تطبيقات الويب وواجهات برمجة التطبيقات زادت بشكل كبير.
هناك سببان وراء ارتفاع هجمات تطبيقات الويب، وفقًا للشركة:
- تحتوي العديد من تطبيقات الويب على نقاط ضعف أو أخطاء في التكوين: وجد بحث باراكودا أن 30% من جميع الهجمات ضد تطبيقات الويب تستهدف التكوينات الأمنية الخاطئة، مثل أخطاء الترميز والتنفيذ.
- تحتوي تطبيقات الويب على بيانات شخصية ومالية، وهي بيانات مربحة للمهاجم.
كما أنها تشكل هدفًا رئيسيًا للهجمات الإلكترونية. وفقًا لأحدث تقرير للتحقيقات في خرق بيانات Verizon، كانت تطبيقات الويب هي أهم ناقل للعمل في عام 2023، حيث تم استخدامها في 80% من الحوادث و60% من الانتهاكات.
“تظهر أبحاث باراكودا أن 40% من متخصصي تكنولوجيا المعلومات الذين شاركوا في القرصنة الأخلاقية يعتقدون أن هجمات تطبيقات الويب هي من بين أكثر الهجمات ربحًا لمهاجمي الإنترنت، ويقول 55% نفس الشيء بالنسبة لواجهات برمجة التطبيقات”، كما أشارت الشركة في مقالها. حول هذا الاتجاه.
ومن بين الهجمات الأكثر شيوعًا هجمات حقن التعليمات البرمجية وهجمات حقن Log4Shell وLDAP. كشفت بيانات الكشف عن مكافحة الروبوتات من Barracuda أيضًا أن 53% من هجمات الروبوت التي استهدفت تطبيقات الويب في ديسمبر كانت عبارة عن هجمات رفض الخدمة الموزعة الحجمي (DDoS).
YOUTUBE.COM/THENEWSTACK
التكنولوجيا تتحرك بسرعة، لا تفوت أي حلقة. اشترك في قناتنا على YouTube لبث جميع ملفات البودكاست والمقابلات والعروض التوضيحية والمزيد.
يشترك
