کارشناسان امنیت سایبری اطلاعاتی را در مورد سه آسیبپذیری اسکریپت بین سایتی (XSS) در برنامههای محبوب منبع باز توزیع کردهاند که میتوانند باعث اجرای کد از راه دور (RCE) شوند.
یک حمله اولیه XSS اجازه می دهد تا کد جاوا اسکریپت عامل تهدید در مرورگر وب کاربر قربانی اجرا شود، که دری را برای سرقت کوکی باز می کند، به یک سایت فیشینگ هدایت می کند، و بسیاری موارد دیگر.
Cross-Site Scripting (XSS) یکی از گستردهترین حملات در برنامههای وب است، اگر یک عامل تهدید کد جاوا اسکریپت را در خروجی برنامه پیادهسازی کند، نه تنها کوکیها را میدزدد، بلکه گاهی اوقات منجر به به خطر انداختن کامل سیستمها میشود.
اولین باگ، Evolution CMS V3.1.8، به هکر اجازه می دهد تا یک حمله XSS منعکس شده را در مکان های مختلف در بخش مدیریت اجرا کند. الکسی سولوف بیان می کند که در صورت حمله موفقیت آمیز به یک مدیر مجاز در سیستم، فایل index.php با کدی که مهاجم در بارگذاری قرار داده است، بازنویسی می شود.
آسیب پذیری دوم که در FUDForum نسخه 3.1.1 کشف شد، می تواند به هکر اجازه دهد تا یک حمله ذخیره شده XSS را راه اندازی کند. الکسی سولوف می گوید که FUDforum یک انجمن گفتگوی فوق العاده سریع و مقیاس پذیر است. این بسیار قابل تنظیم است و از اعضای نامحدود، انجمن ها، پست ها، موضوعات، نظرسنجی ها و پیوست ها پشتیبانی می کند.
پنل مدیریتی FUDforum دارای یک مدیر فایل است که به شما امکان می دهد فایل ها را از جمله فایل هایی با پسوند PHP آپلود کنید. یک مهاجم می تواند از XSS بایگانی شده برای آپلود یک فایل PHP استفاده کند که می تواند هر دستوری را در سرور اجرا کند.
در جدیدترین آسیب پذیری Bitbucket v4.37.1، یک باگ امنیتی پیدا شد که به مهاجم اجازه می دهد تا یک حمله XSS ذخیره شده در مکان های مختلف را راه اندازی کند. الکسی سولوف بیان میکند که داشتن یک حمله بایگانیشده XSS میتواند سعی کند از آن برای اجرای کد روی سرور سوء استفاده کند. پنل مدیریت دارای ابزارهایی برای اجرای پرس و جوهای SQL است.
GitBucket به طور پیش فرض از H2 Database Engine استفاده می کندdefiنیتا برای این پایگاه داده، یک سوء استفاده عمومی برای دستیابی به اجرای کد از راه دور وجود دارد. بنابراین، تنها کاری که یک مهاجم باید انجام دهد این است که یک کد PoC بر اساس این اکسپلویت ایجاد کند، آن را در مخزن آپلود کند و در طول حمله از آن استفاده کند:
همیشه پلتفرم منبع باز را به روز کنید، فوراً هر وصله اصلاحی را نصب کنید.
مشاوره، ارزیابی، تخمینی در مورد چگونگی ایمن سازی سیستم خود بخواهید.
این فرآیند اساسی برای اندازه گیری سطح فعلی امنیت شرکت شما است.
برای انجام این کار لازم است یک تیم سایبری با آمادگی کافی درگیر شود که بتواند وضعیتی را که شرکت در آن قرار دارد با توجه به امنیت فناوری اطلاعات تجزیه و تحلیل کند.
تجزیه و تحلیل را می توان به صورت همزمان، از طریق مصاحبه انجام شده توسط تیم سایبری یا
همچنین ناهمزمان، با پر کردن پرسشنامه آنلاین.
ما می توانیم به شما کمک کنیم، با متخصصین تماس بگیرید ilwebcreativoنوشتن به info@ilwebcreativo.it یا با چت کردن مستقیم در واتساپ با استفاده از نماد پایین سمت راست.
تاریک وب به محتوای شبکه جهانی وب در تاریک نت ها اشاره دارد که از طریق اینترنت از طریق نرم افزارها، تنظیمات و دسترسی های خاص قابل دسترسی است.
با نظارت بر وب امنیتی خود، میتوانیم از حملات سایبری جلوگیری کنیم و آنها را مهار کنیم، از تجزیه و تحلیل دامنه شرکت (به عنوان مثال: ilwebcreativo.it ) و آدرس های ایمیل فردی.
از طریق vhatsapp با ما تماس بگیرید، ما می توانیم یک طرح اصلاحی برای جداسازی تهدید، جلوگیری از گسترش آن و defiاقدامات اصلاحی لازم را انجام می دهیم. خدمات 24/XNUMX از ایتالیا ارائه می شود
CyberDrive یک مدیر فایل ابری با استانداردهای امنیتی بالا به لطف رمزگذاری مستقل همه فایل ها است. هنگام کار در فضای ابری و اشتراک گذاری و ویرایش اسناد با سایر کاربران، از امنیت داده های شرکت اطمینان حاصل کنید. اگر اتصال قطع شود، هیچ داده ای در رایانه شخصی کاربر ذخیره نمی شود. CyberDrive از گم شدن فایلها به دلیل آسیب تصادفی یا استخراج برای سرقت، فیزیکی یا دیجیتالی جلوگیری میکند.
کوچکترین و قدرتمندترین مرکز داده درون جعبه ای که قدرت محاسباتی و محافظت در برابر آسیب های فیزیکی و منطقی را ارائه می دهد. طراحی شده برای مدیریت داده ها در محیط های لبه و روبو، محیط های خرده فروشی، دفاتر حرفه ای، دفاتر راه دور و مشاغل کوچک که در آن فضا، هزینه و مصرف انرژی ضروری است. این به مراکز داده و کابینت های رک نیاز ندارد. به دلیل زیبایی ضربه ای هماهنگ با فضاهای کاری می توان آن را در هر نوع محیطی قرار داد. «The Cube» فناوری نرمافزار سازمانی را در خدمت کسبوکارهای کوچک و متوسط قرار میدهد.
برای بررسی مسائل امنیتی، برای حل آسیب پذیری ها، برای ایمن سازی سیستم اطلاعاتی خود، همیشه به متخصصان این بخش تکیه کنید:
Ercole Palmeri: معتاد به نوآوری
هر عملیات تجاری، داده های زیادی را تولید می کند، حتی به اشکال مختلف. این داده ها را به صورت دستی از یک برگه اکسل وارد کنید تا…
به خطر افتادن ایمیل های شرکت در سه ماهه اول سال 2024 نسبت به سه ماهه آخر سال بیش از دو برابر افزایش یافته است.
اصل تفکیک رابط یکی از پنج اصل SOLID طراحی شی گرا است. یک کلاس باید…
مایکروسافت اکسل ابزار مرجع برای تجزیه و تحلیل داده ها است، زیرا ویژگی های بسیاری را برای سازماندهی مجموعه داده ها ارائه می دهد.
Walliance، سیمکارت و پلتفرم در میان پیشتازان اروپا در زمینه سرمایهگذاری جمعی املاک و مستغلات از سال 2017، تکمیل…
Filament یک چارچوب توسعه لاراول "شتاب یافته" است که چندین مولفه تمام پشته را ارائه می دهد. طراحی شده است تا فرآیند…
من باید برگردم تا تکامل خود را کامل کنم: خودم را در کامپیوتر فرافکنی می کنم و به انرژی خالص تبدیل می شوم. پس از استقرار در…
Google DeepMind نسخه بهبودیافته ای از مدل هوش مصنوعی خود را معرفی می کند. مدل جدید بهبود یافته نه تنها…