የሳይበር ጥቃት፡ ምን እንደሆነ፣ እንዴት እንደሚሰራ፣ ዓላማው እና እንዴት መከላከል እንደሚቻል፡ የ XSS ስህተቶች ሙሉ በሙሉ የስርዓት መዘጋት ሊያስከትሉ ይችላሉ።

ዛሬ በአንዳንድ የክፍት ምንጭ አፕሊኬሽኖች ውስጥ የሚገኙ እና የርቀት ኮድ አፈጻጸምን የሚያስከትሉ አንዳንድ ክሮስ ሳይት ስክሪፕት (XSS) ተጋላጭነቶችን እናያለን።

የሳይበር ደህንነት ባለሙያዎች የርቀት ኮድ ማስፈጸሚያ (RCE) ሊያስከትሉ በሚችሉ በታዋቂ የክፍት ምንጭ አፕሊኬሽኖች ውስጥ በሶስት-ሳይት ስክሪፕት (XSS) ተጋላጭነቶች ላይ መረጃ አሰራጭተዋል።

ጥንታዊ የXSS ጥቃት የአደጋውን ተዋናይ ጃቫ ስክሪፕት ኮድ በተጠቂው ተጠቃሚ ድር አሳሽ ውስጥ እንዲተገበር ያስችለዋል፣ ይህም ለኩኪ ስርቆት በር ይከፍታል፣ ወደ አስጋሪ ጣቢያ የሚዞር እና ሌሎችም።

አሁን የተገኙ አንዳንድ ተጋላጭነቶችን እንመልከት

ክሮስ-ሳይት ስክሪፕት (XSS) በድር አፕሊኬሽኖች ውስጥ በጣም ከተስፋፋው ጥቃት አንዱ ነው።አስጊ ተዋናዩ የጃቫስክሪፕት ኮድን በመተግበሪያው ውፅዓት ውስጥ ተግባራዊ ካደረገ ኩኪዎችን መስረቅ ብቻ ሳይሆን አንዳንድ ጊዜ ስርዓቱን ሙሉ በሙሉ ወደ ማግባባት ያመራል።

የዝግመተ ለውጥ CMS V3.1.8

የመጀመሪያው ስህተት ኢቮሉሽን ሲኤምኤስ V3.1.8 ጠላፊ በአስተዳደሩ ክፍል ውስጥ በተለያዩ ቦታዎች ላይ የተንጸባረቀ የXSS ጥቃትን እንዲጀምር ያስችለዋል። አሌክሲ ሶሎቭቭ በስርዓቱ ውስጥ በተፈቀደው አስተዳዳሪ ላይ የተሳካ ጥቃት ሲደርስ የ index.php ፋይል አጥቂው በደመወዝ ጭነቱ ውስጥ ባስቀመጠው ኮድ ይተካል።

FUD መድረክ v3.1.1

በFUDForum v3.1.1 ውስጥ የተገኘው ሁለተኛው ተጋላጭነት ጠላፊ የተከማቸ የXSS ጥቃትን እንዲጀምር ሊፈቅድለት ይችላል። አሌክሲ ሶሎቭቭ FUDforum እጅግ በጣም ፈጣን እና ሊሰፋ የሚችል የውይይት መድረክ ነው ብሏል። በከፍተኛ ደረጃ ሊበጅ የሚችል እና ያልተገደበ አባላትን፣ መድረኮችን፣ ልጥፎችን፣ ርዕሶችን፣ ምርጫዎችን እና አባሪዎችን ይደግፋል።

የFUDforum አስተዳደር ፓነል የPHP ቅጥያ ያላቸውን ፋይሎች ጨምሮ ፋይሎችን ወደ አገልጋዩ እንዲሰቅሉ የሚያስችል የፋይል አቀናባሪ አለው። አንድ አጥቂ በማህደር የተቀመጠ XSS በመጠቀም በአገልጋዩ ላይ ማንኛውንም ትዕዛዝ የሚያስፈጽም የPHP ፋይል ለመስቀል ሊጠቀም ይችላል።

Bitbucket v4.37.1

በአዲሱ ተጋላጭነት፣ Bitbucket v4.37.1፣ አጥቂ በተለያዩ ቦታዎች የተከማቸ የXSS ጥቃትን እንዲከፍት የሚያስችል የደህንነት ስህተት ተገኘ። አሌክሲ ሶሎቭቭ በማህደር የተቀመጠ XSS ጥቃት በአገልጋዩ ላይ ኮድ ለማስፈፀም ሊጠቀምበት እንደሚችል ተናግሯል። የአስተዳዳሪ ፓነል የ SQL መጠይቆችን ለማስኬድ መሳሪያዎች አሉት።

GitBucket በነባሪነት H2 Database Engineን ይጠቀማልdefiኒታ ለዚህ ዳታቤዝ፣ የርቀት ኮድ አፈጻጸምን ለማግኘት በይፋ የሚገኝ ብዝበዛ አለ። ስለዚህ፣ አጥቂ ማድረግ የሚያስፈልገው በዚህ ብዝበዛ ላይ በመመስረት የፖሲ ኮድ መፍጠር፣ ወደ ማከማቻው መስቀል እና በጥቃቱ ጊዜ መጠቀም ነው።

የተጋላጭነት መኖርን እንዴት መከላከል እንደሚቻል

ሁልጊዜ የክፍት ምንጭ መድረክን ያዘምኑ፣ ወዲያውኑ ማንኛውንም የማስተካከያ ጥገና ይጫኑ።

የእርስዎን ስርዓት እንዴት እንደሚጠብቁ ምክር፣ ግምገማ፣ ግምት ይጠይቁ።

የደህንነት ግምገማ

የኩባንያዎን ወቅታዊ የደህንነት ደረጃ ለመለካት መሰረታዊ ሂደት ነው።

ይህንን ለማድረግ በቂ ዝግጅት ያለው የሳይበር ቡድን ማሳተፍ አስፈላጊ ነው, ኩባንያው የ IT ደህንነትን በተመለከተ እራሱን የሚያገኝበትን ሁኔታ ትንተና ማካሄድ ይችላል.

ትንታኔው በሳይበር ቡድን በተደረገ ቃለ መጠይቅ ወይም በተመሳሳይ ሁኔታ ሊከናወን ይችላል

እንዲሁም በመስመር ላይ መጠይቁን በመሙላት አልተመሳሰልም።

እኛ ልንረዳዎ እንችላለን, ልዩ ባለሙያዎችን ያነጋግሩ ilwebcreativoወደ info@ ይጽፋልilwebcreativoእሱ ወይም ከስር በቀኝ በኩል ያለውን ምልክት በመጠቀም በዋትስአፕ በመወያየት።

የደህንነት የድር ክትትል፡ የጨለማው ድር ትንተና

የጨለማው ድር በተለያዩ ሶፍትዌሮች፣ አወቃቀሮች እና መዳረሻዎች በበየነመረብ ሊደረስባቸው በሚችሉ በጨለማ መረቦች ውስጥ የአለም አቀፍ ድርን ይዘቶች ያመለክታል።
በእኛ የደህንነት ድር ክትትል የሳይበር ጥቃቶችን መከላከል እና መያዝ እንችላለን ከኩባንያው ጎራ ትንተና ጀምሮ (ለምሳሌ፡- ilwebcreativo. it ) እና የግለሰብ ኢ-ሜይል አድራሻዎች።

በvhatsapp በኩል ያግኙን፣ ስጋቱን ለመለየት፣ መስፋፋቱን ለመከላከል እና የማስተካከያ እቅድ ማዘጋጀት እንችላለን defiአስፈላጊውን የማስተካከያ እርምጃዎች እንወስዳለን. አገልግሎቱ የሚሰጠው ከጣሊያን 24/XNUMX ነው።

CYBERDRIVE፡ ፋይሎችን ለማጋራት እና ለማርትዕ ደህንነቱ የተጠበቀ መተግበሪያ

CyberDrive ለሁሉም ፋይሎች ገለልተኛ ምስጠራ ምስጋና ከፍተኛ የደህንነት ደረጃዎች ያለው የደመና ፋይል አቀናባሪ ነው። በደመና ውስጥ በሚሰሩበት ጊዜ እና ሰነዶችን ከሌሎች ተጠቃሚዎች ጋር በማጋራት እና በማርትዕ የኮርፖሬት ውሂብን ደህንነት ያረጋግጡ። ግንኙነቱ ከጠፋ ምንም መረጃ በተጠቃሚው ፒሲ ላይ አይከማችም። ሳይበርድሪቭ በአካልም ሆነ በዲጂታል በድንገተኛ ጉዳት ወይም በስርቆት ምክንያት ፋይሎች እንዳይጠፉ ይከላከላል።

"The CUBE": አብዮታዊ መፍትሔ

በጣም ትንሹ እና በጣም ኃይለኛው የውስጠ-ሣጥን ዳታ ሴንተር የኮምፒዩተር ሃይልን እና ከአካላዊ እና ምክንያታዊ ጉዳት የሚከላከል። የጠፈር እና የሮቦ አከባቢዎች፣ የችርቻሮ አካባቢዎች፣ ሙያዊ ቢሮዎች፣ የርቀት ቢሮዎች እና ቦታ፣ ወጪ እና የሃይል ፍጆታ አስፈላጊ በሆኑባቸው አነስተኛ ንግዶች ውስጥ ለመረጃ አስተዳደር የተነደፈ። የመረጃ ማእከሎች እና የመደርደሪያ ካቢኔዎች አያስፈልግም. ከሥራ ቦታዎች ጋር በተጣጣመ መልኩ ለተጽዕኖ ውበት ምስጋና ይግባውና በማንኛውም ዓይነት አካባቢ ውስጥ ሊቀመጥ ይችላል. «The Cube» የኢንተርፕራይዝ ሶፍትዌር ቴክኖሎጂን ለአነስተኛ እና መካከለኛ ንግዶች አገልግሎት ያስቀምጣል።