Kibertəhlükəsizlik mütəxəssisləri, uzaqdan kod icrasına (RCE) səbəb ola biləcək məşhur açıq mənbə proqramlarında üç saytlararası skript (XSS) zəifliyi haqqında məlumat yayıblar.
Primitiv XSS hücumu təhdid aktyorunun JavaScript kodunu qurban istifadəçinin veb-brauzerində icra etməyə imkan verir ki, bu da kuki oğurluğuna, fişinq saytına yönləndirməyə və daha çox şeyə qapı açır.
Saytlararası Skriptləmə (XSS) veb proqramlarda ən geniş yayılmış hücumlardan biridir.Əgər təhdid aktyoru proqramın çıxışında javascript kodunu tətbiq edərsə, o, nəinki kukiləri oğurlayır, həm də bəzən sistemlərin tam kompromisinə gətirib çıxarır.
İlk səhv, Evolution CMS V3.1.8, hakerə idarəetmə bölməsinin müxtəlif yerlərində əks olunan XSS hücumunu həyata keçirməyə imkan verir. Aleksey Solovev bildirir ki, sistemdə səlahiyyətli idarəçiyə uğurlu hücum baş verərsə, index.php faylı təcavüzkarın faydalı yükə yerləşdirdiyi kodun üzərinə yazılacaq.
FUDForum v3.1.1-də aşkar edilən ikinci boşluq hakerə saxlanılan XSS hücumunu həyata keçirməyə imkan verə bilər. Aleksey Solovev deyir ki, FUDforum super sürətli və genişlənən müzakirə forumudur. O, yüksək səviyyədə fərdiləşdirilə bilər və limitsiz üzvləri, forumları, yazıları, mövzuları, sorğuları və əlavələri dəstəkləyir.
FUDforum idarəetmə panelində PHP uzantılı fayllar da daxil olmaqla faylları serverə yükləməyə imkan verən fayl meneceri var. Təcavüzkar serverdə istənilən əmri yerinə yetirə bilən PHP faylını yükləmək üçün arxivləşdirilmiş XSS-dən istifadə edə bilər.
Ən son boşluq olan Bitbucket v4.37.1-də təcavüzkarın müxtəlif yerlərdə saxlanılan XSS hücumunu həyata keçirməsinə imkan verə biləcək təhlükəsizlik xətası aşkar edilib. Aleksey Solovev qeyd edir ki, arxivləşdirilmiş XSS hücumuna malik olmaq serverdə kodu icra etmək üçün ondan istifadə etməyə cəhd edə bilər. İdarəetmə panelində SQL sorğularını yerinə yetirmək üçün alətlər var.
GitBucket standart olaraq H2 Database Engine istifadə edirdefinita. Bu verilənlər bazası üçün uzaqdan kod icrasına nail olmaq üçün ictimaiyyətə açıq olan istismar mövcuddur. Beləliklə, təcavüzkarın etməli olduğu yeganə şey bu istismar əsasında PoC kodu yaratmaq, onu depoya yükləmək və hücum zamanı ondan istifadə etməkdir:
Həmişə Açıq Mənbə platformasını yeniləyin, dərhal istənilən düzəldici yamaları quraşdırın.
Məsləhət, qiymətləndirmə, sisteminizin təhlükəsizliyini necə təmin edəcəyinizi təxmin edin.
Bu, şirkətinizin cari təhlükəsizlik səviyyəsini ölçmək üçün əsas prosesdir.
Bunun üçün şirkətin İT təhlükəsizliyi ilə bağlı düşdüyü vəziyyətin təhlilini apara bilən adekvat şəkildə hazırlanmış Kiber Komandanı cəlb etmək lazımdır.
Təhlil sinxron şəkildə, Cyber Team tərəfindən aparılan müsahibə vasitəsilə və ya həyata keçirilə bilər
həm də onlayn anket doldurmaqla asinxrondur.
Sizə kömək edə bilərik, mütəxəssislərlə əlaqə saxlayın ilwebcreativo.info@ ünvanına yazırilwebcreativo.it və ya sağ altdakı işarədən istifadə edərək birbaşa whatsapp-da söhbət etməklə.
Qaranlıq şəbəkə xüsusi proqram təminatı, konfiqurasiyalar və girişlər vasitəsilə İnternet vasitəsilə əldə edilə bilən qaranlıq şəbəkələrdəki Ümumdünya Şəbəkəsinin məzmununa aiddir.
Təhlükəsizlik Veb Monitorinqimizlə biz şirkət domeninin təhlilindən başlayaraq kiberhücumların qarşısını ala və saxlaya bilirik (məsələn: ilwebcreativo.it ) və fərdi elektron poçt ünvanları.
vhatsapp vasitəsilə bizimlə əlaqə saxlayın, təhlükəni təcrid etmək, yayılmasının qarşısını almaq və qarşısını almaq üçün remediasiya planı hazırlaya bilərik. defilazımi təmir işləri görürük. Xidmət İtaliyadan 24/XNUMX təmin edilir
CyberDrive bütün faylların müstəqil şifrələnməsi sayəsində yüksək təhlükəsizlik standartlarına malik bulud fayl meneceridir. Buludda işləyərkən və sənədləri digər istifadəçilərlə paylaşarkən və redaktə edərkən korporativ məlumatların təhlükəsizliyini təmin edin. Bağlantı kəsilərsə, istifadəçinin kompüterində heç bir məlumat saxlanılmır. CyberDrive, faylların təsadüfən zədələnməsi və ya fiziki və ya rəqəmsal olsun, oğurlanması səbəbindən itirilməsinin qarşısını alır.
Hesablama gücü və fiziki və məntiqi zədələrdən qorunma təklif edən ən kiçik və güclü məlumat mərkəzi. Məkan, xərc və enerji istehlakının vacib olduğu kənar və robot mühitlərdə, pərakəndə satış mühitlərində, peşəkar ofislərdə, uzaq ofislərdə və kiçik bizneslərdə məlumatların idarə edilməsi üçün nəzərdə tutulmuşdur. Bunun üçün məlumat mərkəzləri və raf şkafları tələb olunmur. İş yerləri ilə uyğunlaşan təsirli estetika sayəsində istənilən mühitdə yerləşdirilə bilər. «The Cube» korporativ proqram təminatı texnologiyasını kiçik və orta biznesin xidmətinə verir.
Təhlükəsizlik məsələlərini araşdırmaq, zəiflikləri həll etmək, məlumat sisteminizin təhlükəsizliyini təmin etmək üçün həmişə sektordakı mütəxəssislərə etibar edin:
Ercole Palmeri: İnnovasiya asılılığı
â € <
İstənilən biznes əməliyyatı hətta müxtəlif formalarda çoxlu məlumat istehsal edir. Bu məlumatları Excel vərəqindən əl ilə daxil edin...
Şirkət e-poçtlarının güzəşti 2024-cü ilin ilk üç ayında ilin son rübü ilə müqayisədə iki dəfədən çox artdı ...
İnterfeyslərin ayrılması prinsipi obyekt yönümlü dizaynın beş SOLID prinsipindən biridir. Bir sinifdə olmalıdır…
Microsoft Excel verilənlərin təhlili üçün istinad alətidir, çünki məlumat dəstlərini təşkil etmək üçün bir çox funksiyalar təklif edir,…
Walliance, SİM və 2017-ci ildən bəri Daşınmaz Əmlak Crowdfunding sahəsində Avropanın liderləri arasında olan platforma, tamamlandığını elan edir ...
Filament bir neçə tam yığın komponenti təmin edən "sürətləndirilmiş" Laravel inkişaf çərçivəsidir. Bu prosesi asanlaşdırmaq üçün nəzərdə tutulmuşdur...
“Mən təkamülü başa çatdırmaq üçün geri qayıtmalıyam: özümü kompüterin içində layihələndirəcəyəm və saf enerjiyə çevriləcəyəm. Bir dəfə məskunlaşan…
Google DeepMind süni intellekt modelinin təkmilləşdirilmiş versiyasını təqdim edir. Yeni təkmilləşdirilmiş model təkcə…