网络安全公司称华为Web Apps存在关键问题

意大利网络安全公司Swascan 发现了华为Web应用程序中的漏洞。

Swascan表示，它已经确定了华为Web应用程序中属于“ CWE”类别的三个漏洞(CWE代表“常见弱点薪酬”)，例如在内存缓冲区范围内操作限制不当(CWE-119)， -边界读取(CWE-125)和OS命令注入(CWE-78)。Swascan已将这些漏洞通知华为，希望该公司加强其网络安全性。这家意大利网络安全公司表示，在当今的网络攻击时代，软件和网络安全公司之间需要合作。

当某人可以写入超出内存缓冲区的位置(即存储和传输数据的位置)时，会在内存缓冲区(CWE-119)的范围内对操作进行不适当的限制。获得此许可的黑客可以执行任意代码，从而允许他或她对应用程序执行他想做的任何事情，例如覆盖对安全至关重要的数据，这些数据将拒绝非管理员的某些权限。

这种努力可能导致计算指令的覆盖，相关内存的损坏以及崩溃。结果可能会泄露敏感信息，例如缓冲区(数据所在的位置)在内存中的位置，从而使黑客可以计划进一步的攻击，以抓住更多敏感信息。黑客可能会创建一个无限循环，在该循环中，程序会无限次遍历屏幕上的同一件事。

当软件读取超出预期的缓冲区时，当人们可以读取超出存储某些数据的数据位置时，就会发生越界读取(CWE-125)。这可能会导致崩溃或从黑客不应该允许其进入的其他地方访问敏感信息。

操作系统命令注入(CWE-78)听起来很像：骇客将命令注入操作系统的一种方式，使得恶意活动似乎源自应用程序或其所有者，而不是恶意黑客。OS Command Injection等同于电话robocall呼叫者，他们“欺骗”号码以使其看起来好像本地号码甚至您自己的号码正在呼叫您(当呼叫完全来自另一个号码时)。OS命令注入背后的危险在于，黑客可能会禁用软件(OS)或读取和更改本应禁止访问Web应用程序以外的用户访问的数据。