Fakuloj pri cibersekureco distribuis informojn pri tri vundeblecoj de trans-ejaj skribadoj (XSS) en popularaj malfermfontaj aplikoj, kiuj povas kaŭzi malproksiman kodon (RCE).
Primitiva XSS-atako permesas la JavaScript-kodon de la minacaktoro esti efektivigita en la retumilo de la viktimuzanto, kiu malfermas la pordon al kuketoŝtelo, alidirektas al phishing-ejo, kaj multe pli.
Cross-Site Scripting (XSS) estas unu el la plej disvastigitaj atakoj en TTT-aplikoj.Se minacaktoro efektivigas javaskriptokodon en la eligo de la apo, ĝi ne nur ŝtelas kuketojn, sed ankaŭ foje kondukas al kompleta kompromiso de la sistemoj.
La unua cimo, Evolution CMS V3.1.8, permesas al retpirato lanĉi reflektitan XSS-atakon ĉe diversaj lokoj en la administra sekcio. Aleksey Solovev deklaras, ke en la okazo de sukcesa atako kontraŭ rajtigita administranto en la sistemo, la dosiero index.php estos anstataŭita per la kodo, kiun la atakanto metis en la utilan ŝarĝon.
La dua vundebleco, malkovrita en FUDForum v3.1.1, povus permesi al retpirato lanĉi stokitan XSS-atakon. Aleksey Solovev diras, ke FUDforum estas super rapida kaj skalebla diskutforumo. Ĝi estas tre agordebla kaj subtenas senlimajn membrojn, forumojn, afiŝojn, temojn, balotenketojn kaj aldonaĵojn.
La administra panelo de FUDforum havas dosieradministradon, kiu ebligas al vi alŝuti dosierojn al la servilo, inkluzive de dosieroj kun la PHP-etendo. Atakanto povus uzi arkivitan XSS por alŝuti PHP-dosieron, kiu povas plenumi ajnan komandon en la servilo.
En la plej nova vundebleco, Bitbucket v4.37.1, sekureca cimo estis trovita, kiu povus permesi al atakanto lanĉi XSS-atakon stokitan en diversaj lokoj. Aleksey Solovev deklaras ke havi arkivitan XSS-atakon povas provi ekspluati ĝin por efektivigi kodon sur la servilo. La administra panelo havas ilojn por ruli SQL-demandojn.
GitBucket uzas H2 Database Engine defaŭltedefinita. Por ĉi tiu datumbazo, ekzistas publike havebla ekspluato por atingi malproksiman kodan ekzekuton. Do, ĉio, kion atakanto bezonas fari, estas krei PoC-kodon bazitan sur ĉi tiu ekspluato, alŝuti ĝin al la deponejo kaj uzi ĝin dum atako:
Ĉiam ĝisdatigu la Malfermfontan platformon, tuj instalu iujn ajn korektajn flikaĵojn.
Petu konsilon, taksadon, takson pri kiel sekurigi vian sistemon.
Ĝi estas la fundamenta procezo por mezuri la nunan nivelon de sekureco de via kompanio.
Por fari tion, necesas impliki taŭge preparitan Cyber Team, kapablan fari analizon de la stato de la kompanio rilate al IT-sekureco.
La analizo povas esti farita sinkrone, per intervjuo farita de la Cyber Team aŭ
ankaŭ nesinkrona, plenigante demandaron rete.
Ni povas helpi vin, kontaktu la specialistojn de ilwebcreativo.it skribante al info@ilwebcreativo.it aŭ babilante per whatsapp rekte uzante la ikonon malsupre dekstre.
La malluma reto rilatas al la enhavo de la Tutmonda Reto en mallumretoj kiuj povas esti atingitaj per la Interreto per specifa programaro, agordoj kaj aliroj.
Kun nia Sekureca Reta Monitorado ni kapablas malhelpi kaj enhavi ciberatakojn, komencante de la analizo de la firmaa domajno (ekz.: ilwebcreativo.it ) kaj individuaj retadresoj.
Kontaktu nin per vhatsapp, ni povas prepari solvan planon por izoli la minacon, malhelpi ĝian disvastiĝon kaj defini prenas la necesajn solvagajn agojn. La servo estas provizita 24/XNUMX el Italio
CyberDrive estas nuba dosieradministranto kun altaj sekurecaj normoj danke al la sendependa ĉifrado de ĉiuj dosieroj. Certigu la sekurecon de kompaniaj datumoj dum vi laboras en la nubo kaj kundividas kaj redaktas dokumentojn kun aliaj uzantoj. Se la konekto estas perdita, neniuj datumoj estas konservitaj en la komputilo de la uzanto. CyberDrive malhelpas dosierojn esti perditaj pro hazarda damaĝo aŭ eksfiltrita por ŝtelo, ĉu ĝi estas fizika aŭ cifereca.
La plej malgranda kaj plej potenca en-kesto datencentro ofertanta komputikpotencon kaj protekton kontraŭ fizika kaj logika damaĝo. Desegnita por administrado de datumoj en randaj kaj robotaj medioj, podetalaj medioj, profesiaj oficejoj, malproksimaj oficejoj kaj malgrandaj entreprenoj, kie spaco, kosto kaj energikonsumo estas esencaj. Ĝi ne postulas datumcentrojn kaj rakajn kabinetojn. Ĝi povas esti poziciigita en ajna tipo de medio danke al la efiko-estetiko en harmonio kun la laborspacoj. «La Kubo» metas entreprenan programaran teknologion je la servo de malgrandaj kaj mezgrandaj entreprenoj.
Por esplori sekurecajn problemojn, solvi vundeblecojn, sekurigi vian informsistemon, ĉiam dependu de specialistoj en la sektoro:
Ercole Palmeri: Novigo toksomaniulo
Google DeepMind enkondukas plibonigitan version de sia modelo de artefarita inteligenteco. La nova plibonigita modelo provizas ne nur...
Laravel, fama pro sia eleganta sintakso kaj potencaj trajtoj, ankaŭ provizas solidan bazon por modula arkitekturo. Tie…
Cisco kaj Splunk helpas klientojn akceli sian vojaĝon al la Sekureca Operacia Centro (SOC) de la estonteco kun...
Ransomware regis la novaĵojn dum la lastaj du jaroj. Plej multaj homoj bone scias, ke atakoj...
Oftalmoplastia operacio per la komerca spektilo Apple Vision Pro estis farita ĉe la Katania Polikliniko...
Evoluigi bonajn movajn kapablojn per kolorigo preparas infanojn por pli kompleksaj kapabloj kiel skribi. Kolori...
La maramea sektoro estas vera tutmonda ekonomia potenco, kiu navigis al merkato de 150 miliardoj...
Pasintlunde, la Financial Times anoncis interkonsenton kun OpenAI. FT licencas sian mondklasan ĵurnalismon...