Zibersegurtasuneko adituek urruneko kodearen exekuzioa (RCE) eragin dezaketen kode irekiko aplikazio ezagunetan hiru gune arteko scripting (XSS) ahultasunei buruzko informazioa banatu dute.
XSS eraso primitibo batek mehatxu-aktorearen JavaScript kodea exekutatzeko aukera ematen du biktimaren erabiltzailearen web-arakatzailean, eta horrek cookieen lapurretari atea irekitzen dio, phishing gune batera birbideratzen du eta askoz gehiago.
Cross-Site Scripting (XSS) web-aplikazioetako erasorik hedatuenetako bat da. Mehatxu-eragile batek javascript kodea ezartzen badu aplikazioaren irteeran, cookieak lapurtzeaz gain, sistemak erabat arriskuan jartzen ditu batzuetan.
Lehenengo akatsak, Evolution CMS V3.1.8, aukera ematen dio hacker bati islatutako XSS erasoa abiarazteko administrazio ataleko hainbat tokitan. Aleksey Solovev-ek dio sisteman baimendutako administratzaile baten aurkako eraso arrakastatsua gertatuz gero, index.php fitxategia erasotzaileak kargan jarri zuen kodearekin gainidatziko dela.
FUDForum v3.1.1-en aurkitutako bigarren ahultasunak hacker batek gordetako XSS erasoa abiarazteko aukera eman diezaioke. Aleksey Solovev-ek dio FUDforum eztabaida-foro oso azkarra eta eskalagarria dela. Oso pertsonalizagarria da eta kide, foro, mezu, gai, inkestak eta eranskin mugagabeak onartzen ditu.
FUDforum administrazio-panelak fitxategi-kudeatzailea du zerbitzarira fitxategiak kargatzeko aukera ematen duena, PHP luzapena duten fitxategiak barne. Erasotzaile batek artxibatutako XSS erabil lezake zerbitzarian edozein komando exekutatu dezakeen PHP fitxategi bat kargatzeko.
Azken ahultasunean, Bitbucket v4.37.1, erasotzaile bati hainbat tokitan gordetako XSS eraso bat abiarazteko aukera eman zezakeen segurtasun-akats bat aurkitu zen. Aleksey Solovev-ek dio artxibatutako XSS eraso bat edukitzeak zerbitzarian kodea exekutatzeko ustiatzen saia daitekeela. Admin panelak SQL kontsultak exekutatzeko tresnak ditu.
GitBucket-ek H2 Database Engine erabiltzen du lehenespenezdefinita. Datu-base honetarako, publikoki eskuragarri dagoen ustiapen bat dago urruneko kodea exekutatzeko. Beraz, erasotzaile batek egin behar duen guztia ustiatu honetan oinarritutako PoC kodea sortzea da, biltegira igo eta eraso batean erabiltzea:
Eguneratu beti Open Source plataforma, berehala instalatu adabaki zuzentzaileak.
Eskatu aholkua, ebaluazioa, zure sistema ziurtatzeko aurrekontua.
Zure enpresaren egungo segurtasun maila neurtzeko oinarrizko prozesua da.
Horretarako behar bezala prestatuta dagoen Cyber Talde bat inplikatzea beharrezkoa da, enpresaren egoera informatikoaren segurtasunari dagokionez analisia egiteko gai dena.
Azterketa modu sinkronikoan egin daiteke, Cyber Team-ek egindako elkarrizketa baten bidez edo
asinkronoa ere, galdetegi bat sarean betez.
Lagun zaitzakegu, jarri harremanetan espezialistekin ilwebcreativo.it info@ helbidera idaztenilwebcreativo.it edo whatsapp-en zuzenean txateatzen beheko eskuineko ikonoa erabiliz.
Web iluna software, konfigurazio eta sarbide espezifikoen bidez Internet bidez irits daitezkeen sare ilunetako World Wide Web-eko edukiei dagokie.
Gure Segurtasun Web Monitorizazioari esker, ziber-erasoak prebenitu eta eduki ditzakegu, enpresaren domeinuaren azterketatik abiatuta (adibidez: ilwebcreativo.it ) eta banakako helbide elektronikoak.
Jar zaitez gurekin harremanetan vhatsapp bidez, mehatxua isolatzeko, hedapena saihesteko eta konpontzeko plan bat prestatu dezakegu defibeharrezko konponketa-ekintzak hartzen ditugu. Zerbitzua 24/XNUMX eskaintzen da Italiatik
CyberDrive hodeiko fitxategien kudeatzailea da, segurtasun estandar altuak dituena, fitxategi guztien enkriptazio independenteari esker. Bermatu datu korporatiboen segurtasuna hodeian lan egiten duzun bitartean eta dokumentuak beste erabiltzaile batzuekin partekatzen eta editatzen dituzun bitartean. Konexioa galtzen bada, ez da daturik gordetzen erabiltzailearen ordenagailuan. CyberDrive-k fitxategiak ustekabeko kalteen ondorioz galtzea edo lapurretagatik kanporatzea saihesten du, fisikoa edo digitala izan.
Kutxa barneko datu-zentro txikiena eta indartsuena informatika-potentzia eta kalte fisiko eta logikoetatik babesten dituena. Datuak kudeatzeko diseinatua, ertz eta robot inguruneetan, txikizkako inguruneetan, bulego profesionaletan, urruneko bulegoetan eta negozio txikietan, non espazioa, kostua eta energia-kontsumoa ezinbestekoak diren. Ez du datu zentrorik eta rack armairurik behar. Edozein ingurunetan kokatu daiteke lan-espazioekin bat datorren inpaktuaren estetikari esker. «The Cube»-k enpresa-softwarearen teknologia enpresa txiki eta ertainen zerbitzura jartzen du.
Segurtasun arazoak ikertzeko, ahuleziak konpontzeko, zure informazio-sistema ziurtatzeko, izan beti sektoreko espezialistengan:
Ercole Palmeri: Berrikuntzaren mendekoa
Edozein negozio-eragiketak datu asko ekoizten ditu, baita forma ezberdinetan ere. Sartu eskuz datu hauek Excel orri batetik...
Enpresaren mezu elektronikoen konpromisoa bikoiztu baino gehiago igo da 2024ko lehen hiru hilabeteetan, azken hiruhilekoarekin alderatuta...
Interfazearen bereizketaren printzipioa objektuetara zuzendutako diseinuaren bost printzipio SOLIDetako bat da. Klase batek izan beharko luke...
Microsoft Excel datuen analisirako erreferentziazko tresna da, datu multzoak antolatzeko funtzio ugari eskaintzen dituelako, ...
Walliance, SIM eta 2017az geroztik Higiezinen Crowdfunding arloan Europako liderren artean dagoen plataformak amaitu dela iragartzen du...
Filament Laravel garapen-esparru "azeleratu" bat da, pila osoko hainbat osagai eskaintzen dituena. Prozesua errazteko diseinatuta dago...
«Nire bilakaera osatzeko itzuli behar dut: ordenagailuaren barruan proiektatuko naiz eta energia hutsa bihurtuko naiz. Behin finkatuta…
Google DeepMind bere adimen artifizialaren ereduaren bertsio hobetua aurkezten ari da. Hobetutako eredu berriak ez ezik...