Ionnsaigh saidhbear: dè a th ’ann, mar a tha e ag obair, amas agus mar a chuireas e casg air: bugaichean XSS a dh’ adhbhraicheas dùnadh siostam iomlan

Sgriobtadh làrach-lìn xss

Tha tèarainteachd saidhbear na chuspair a tha a’ sìor atharrachadh, an-còmhnaidh fo aire.

Tha mothachadh agus eòlas cudromach.

An-diugh bidh sinn a’ toirt sùil air cuid de chugallachd Sgrìobadh Làrach Tarsainn (XSS, cuideachd CS2) a lorgar ann an cuid de thagraidhean stòr fosgailte, a dh’ fhaodadh cur an gnìomh còd iomallach adhbhrachadh.

Ùine leughaidh tuairmseach: 6 minuti

Tha eòlaichean cybersecurity air fiosrachadh a sgaoileadh mu thrì so-leòntachd sgrìobadh thar-làraich (XSS) ann an tagraidhean stòr fosgailte mòr-chòrdte a dh’ fhaodadh cur an gnìomh còd iomallach (RCE).

Tha ionnsaigh prìomhadail XSS a’ leigeil le còd JavaScript an cleasaiche bagairt a bhith air a chuir gu bàs ann am brobhsair lìn neach-cleachdaidh an neach-fulaing, a dh’ fhosglas an doras gu goid bhriosgaid, ath-stiùireadh gu làrach fiasgaich, agus mòran a bharrachd.

Bheir sinn sùil a-nis air cuid de chugallachd a chaidh a lorg

Is e Scripting Cross-Làraich (XSS) aon de na h-ionnsaighean as fharsainge ann an aplacaidean lìn.Ma bhios cleasaiche bagairt a’ cur an gnìomh còd javascript ann an toradh an aplacaid, chan e a-mhàin gu bheil e a’ goid bhriosgaidean, ach cuideachd uaireannan a’ leantainn gu co-rèiteachadh iomlan de na siostaman.

Evolution CMS V3.1.8

Tha a’ chiad bhiast, Evolution CMS V3.1.8, a’ leigeil le neach-tarraing ionnsaigh XSS a tha ri fhaicinn a chuir air bhog aig diofar àiteachan san roinn rianachd. Tha Aleksey Solovev ag ràdh ma thachras ionnsaigh shoirbheachail air rianadair ùghdarraichte san t-siostam, gun tèid am faidhle index.php ath-sgrìobhadh leis a’ chòd a chuir an neach-ionnsaigh san uallach pàighidh.

CS2 XSS

Tha CS2 a’ toirt iomradh air Counter-Strike 2, geama aig an robh so-leòntachd tèarainteachd sgriobtadh thar-làraich (XSS). Anns a ’cho-theacsa seo, is e seòrsa de locht tèarainteachd a th’ ann an XSS a leigeas le luchd-ionnsaigh còd droch-rùnach a chuir a-steach do thagraidhean lìn. Gu sònraichte, ann an CS2, thug so-leòntachd XSS cothrom do luchd-ionnsaigh eileamaidean geama a làimhseachadh agus seòlaidhean IP chluicheadairean fhaighinn. Mu dheireadh ghlèidh Valve, leasaiche a’ gheama, an so-leòntachd seo12. Ma tha thu a’ cluich CS2, dèan cinnteach gu bheil an dreach as ùire agad gus fuireach sàbhailte!

FUForum v3.1.1

Dh’ fhaodadh an dàrna so-leòntachd, a chaidh a lorg ann am FUForum v3.1.1, leigeil le neach-tarraing ionnsaigh XSS stòraichte a chuir air bhog. Tha Aleksey Solovev ag ràdh gu bheil FUDforum na fhòram deasbaid air leth luath agus so-ruigsinneach. Tha e gu math gnàthaichte agus a’ toirt taic do bhuill gun chrìoch, fòraman, puist, cuspairean, cunntasan-bheachd agus ceanglachan.

Tha manaidsear fhaidhlichean aig pannal rianachd FUDforum a leigeas leat faidhlichean a luchdachadh suas chun t-seirbheisiche, a’ toirt a-steach faidhlichean leis an leudachadh PHP. Dh’ fhaodadh neach-ionnsaigh XSS tasglainn a chleachdadh gus faidhle PHP a luchdachadh suas as urrainn àithne sam bith a chuir an gnìomh air an fhrithealaiche.

Bitbucket v4.37.1

Anns an so-leòntachd as ùire, Bitbucket v4.37.1, chaidh bug tèarainteachd a lorg a leigeadh le neach-ionnsaigh ionnsaigh XSS a chuir air bhog ann an grunn àiteachan. Tha Aleksey Solovev ag ràdh gum faod ionnsaigh XSS tasglainn feuchainn ri brath a ghabhail air gus còd a chuir an gnìomh air an fhrithealaiche. Tha innealan aig a’ phannal rianachd gus ceistean SQL a ruith.

Bidh GitBucket a’ cleachdadh Engine stòr-dàta H2 gu bunaiteach. Air sgàth seo stòr-dàta, tha brath poblach ann gus coileanadh còd iomallach a choileanadh. Mar sin, chan eil aig neach-ionnsaigh ach còd PoC a chruthachadh stèidhichte air a’ bhuannachd seo, a luchdachadh suas chun stòr, agus a chleachdadh rè ionnsaigh:

Mar a chuireas tu casg air làthaireachd so-leòntachd

Ùraich an àrd-ùrlar Open Source an-còmhnaidh, cuir a-steach pìosan ceartachaidh sam bith sa bhad.

Faighnich airson comhairle, measadh, tuairmse air mar as urrainn dhut an siostam agad a dhìon.

MEASADH SEACHDAIN

Is e seo am pròiseas bunaiteach airson ìre tèarainteachd làithreach do chompanaidh a thomhas.

Gus seo a dhèanamh, feumar Sgioba Cyber ​​​​a tha ullaichte gu leòr a thoirt a-steach, comasach air mion-sgrùdadh a dhèanamh air staid a ’chompanaidh a thaobh tèarainteachd IT.

Faodar an anailis a dhèanamh gu sioncronaich, tro agallamh a rinn an Sgioba Cyber ​​​​no

cuideachd asyncronach, le bhith a’ lìonadh ceisteachan air-loidhne.

Is urrainn dhuinn do chuideachadh, cuir fios gu eòlaichean bho ilwebcreativo.it a’ sgrìobhadh gu info@ilwebcreativo.it no le bhith a 'cabadaich air whatsapp dìreach a' cleachdadh an ìomhaigh aig a 'bhonn air an làimh dheis.

SGRÙDADH Lìn Tèarainteachd: mion-sgrùdadh air an Lìon dorcha

Tha an lìon dorcha a’ toirt iomradh air susbaint an Lìon Cruinne ann an lìonan dorcha a ruigear tron ​​eadar-lìn tro bhathar-bog sònraichte, rèiteachaidhean agus slighean-inntrigidh.
Leis an Sgrùdadh Lìn Tèarainteachd againn is urrainn dhuinn casg agus cumail a-steach ionnsaighean saidhbear, a’ tòiseachadh le mion-sgrùdadh air raon a ’chompanaidh (me: ilwebcreativo.it) agus seòlaidhean puist-d fa leth.

Cuir fios thugainn tro vhatsapp, is urrainn dhuinn plana leigheas ullachadh gus an cunnart a sgaradh, casg a chuir air sgaoileadh agus na gnìomhan leigheas riatanach a mhìneachadh. Tha an t-seirbheis air a thoirt seachad 24 uair san latha às an Eadailt

CYBERDRIVE: tagradh tèarainte airson a bhith a’ roinneadh agus a’ deasachadh fhaidhlichean

Tha CyberDrive na mhanaidsear faidhle sgòthan le ìrean tèarainteachd àrd mar thoradh air a h-uile faidhle a chrioptachadh gu neo-eisimeileach. Dèan cinnteach à tèarainteachd dàta corporra fhad ‘s a tha thu ag obair san sgòth agus a’ roinneadh agus a ’deasachadh sgrìobhainnean le luchd-cleachdaidh eile. Ma thèid an ceangal a chall, chan eil dàta air a stòradh air PC an neach-cleachdaidh. Tha CyberDrive a’ cur casg air faidhlichean a bhith air an call mar thoradh air milleadh tubaisteach no air an cuir a-mach airson mèirle, biodh e corporra no didseatach.

«THE CUBE»: am fuasgladh rèabhlaideach

An datacenter in-a-box as lugha agus as cumhachdaiche a tha a’ tabhann cumhachd coimpiutaireachd agus dìon bho mhilleadh corporra is loidsigeach. Air a dhealbhadh airson riaghladh dàta ann an àrainneachdan iomaill agus robo, àrainneachdan reic, oifisean proifeasanta, oifisean iomallach agus gnìomhachasan beaga far a bheil àite, cosgais agus caitheamh lùtha riatanach. Chan fheum e ionadan dàta agus caibineatan raca. Faodar a shuidheachadh ann an àrainneachd de sheòrsa sam bith mar thoradh air bòidhchead buaidh ann an co-chòrdadh ris na h-àiteachan obrach. Bidh "The Cube" a 'cur teicneòlas bathar-bog iomairt aig seirbheis ghnìomhachasan beaga is meadhanach.

Anns na seachdainean a chaidh seachad tha sinn air dèiligeadh ris na cuspairean a leanas a thaobh Cyber ​​​​Security:

  1. Prìomh ann am meadhan ionnsaigh
  2. Malware
  3. Phishing agus Spear phishing
  4. Thoir ionnsaigh le Interception
  5. Seòl-air-adhart
  6. Sgriobtadh thar-làraich (XSS)
  7. SQL ionnsaigh stealladh
  8. Eisimpleir de sgaoileadh malware
  9. Google Drive & Dropbox: Targaid APT29, cruinneachadh Hackers Ruiseanach
  10. Thoir ionnsaigh air faclan-faire
  11. Claonaidhean ionnsaigh saidhbear: A’ chiad leth aithisg 2022 - Bathar-bog Check Point

Leughaidhean Co-cheangailte

Ercole Palmeri

Default  

Autore