Կիբերհարձակում. ինչ է դա, ինչպես է այն աշխատում, նպատակ և ինչպես կանխել այն. XSS սխալներ, որոնք կարող են առաջացնել համակարգի ամբողջական անջատում

Այսօր մենք տեսնում ենք Cross Site Scripting (XSS) որոշ խոցելիություններ, որոնք հայտնաբերվել են որոշ բաց կոդով հավելվածներում, և որոնք կարող են առաջացնել կոդի հեռավոր կատարում:

Կիբերանվտանգության փորձագետները տեղեկատվություն են տարածել հանրահայտ բաց կոդով հավելվածներում երեք միջկայքային սկրիպտավորման (XSS) խոցելիության մասին, որոնք կարող են առաջացնել հեռակա կոդի կատարում (RCE):

Պարզունակ XSS հարձակումը թույլ է տալիս սպառնալիքի դերակատարի JavaScript կոդը գործարկել զոհի օգտատիրոջ վեբ բրաուզերում, որը բացում է թխուկների գողության դուռը, վերահղում դեպի ֆիշինգ կայք և շատ ավելին:

Այժմ նայենք հայտնաբերված որոշ խոցելիություններին

Cross-Site Scripting-ը (XSS) վեբ հավելվածներում ամենատարածված հարձակումներից է: Եթե սպառնալիքի դերակատարը ներդնում է javascript կոդը հավելվածի ելքում, այն ոչ միայն գողանում է թխուկները, այլև երբեմն հանգեցնում է համակարգերի ամբողջական փոխզիջման:

Evolution CMS V3.1.8

Առաջին սխալը՝ Evolution CMS V3.1.8, թույլ է տալիս հաքերին արտացոլված XSS հարձակում գործարկել կառավարման բաժնի տարբեր վայրերում: Ալեքսեյ Սոլովևը նշում է, որ համակարգում լիազորված ադմինիստրատորի վրա հաջող հարձակման դեպքում index.php ֆայլը կվերագրվի այն ծածկագրով, որը հարձակվողը տեղադրել է ծանրաբեռնվածության մեջ:

FUD ֆորում v3.1.1

Երկրորդ խոցելիությունը, որը հայտնաբերված է FUDForum v3.1.1-ում, կարող է թույլ տալ հաքերին իրականացնել պահված XSS գրոհ: Ալեքսեյ Սոլովևն ասում է, որ FUDforum-ը գերարագ և մասշտաբային քննարկման ֆորում է: Այն շատ հարմարեցված է և աջակցում է անսահմանափակ անդամների, ֆորումների, գրառումների, թեմաների, հարցումների և հավելվածների:

FUDforum-ի կառավարման վահանակն ունի ֆայլերի կառավարիչ, որը թույլ է տալիս ֆայլեր վերբեռնել սերվեր, ներառյալ PHP ընդլայնում ունեցող ֆայլերը: Հարձակվողը կարող է օգտագործել արխիվացված XSS՝ վերբեռնելու PHP ֆայլ, որը կարող է կատարել ցանկացած հրաման սերվերի վրա:

Bitbucket v4.37.1

Վերջին խոցելիության մեջ՝ Bitbucket v4.37.1-ում, հայտնաբերվել է անվտանգության վրիպակ, որը կարող է հարձակվողին թույլ տալ տարբեր վայրերում պահվող XSS գրոհ սկսել: Ալեքսեյ Սոլովևը նշում է, որ արխիվացված XSS հարձակումը կարող է փորձել օգտագործել այն սերվերում կոդը գործարկելու համար: Ադմինիստրատորի վահանակն ունի SQL հարցումներ գործարկելու գործիքներ:

GitBucket-ը լռելյայն օգտագործում է H2 Database Engine-ըdefiնիտա. Այս տվյալների բազայի համար կա հանրային հասանելի շահագործում, որը կարող է հասնել հեռավոր կոդի կատարման: Այսպիսով, հարձակվողին պետք է ընդամենը ստեղծել PoC կոդ՝ հիմնվելով այս շահագործման վրա, վերբեռնել այն պահեստարան և օգտագործել այն հարձակման ժամանակ.

Ինչպես կանխել խոցելիության առկայությունը

Միշտ թարմացրե՛ք բաց կոդով պլատֆորմը, անմիջապես տեղադրե՛ք ցանկացած ուղղիչ կարկատներ:

Հարցրեք խորհուրդ, գնահատում, գնահատում, թե ինչպես ապահովել ձեր համակարգը:

ԱՆՎՏԱՆԳՈՒԹՅԱՆ ԳՆԱՀԱՏՈՒՄ

Դա ձեր ընկերության անվտանգության ներկայիս մակարդակը չափելու հիմնական գործընթացն է:

Դա անելու համար անհրաժեշտ է ներգրավել համարժեքորեն պատրաստված կիբեր թիմ, որը կկարողանա վերլուծել այն վիճակը, որում գտնվում է ընկերությունը ՏՏ անվտանգության առումով:

Վերլուծությունը կարող է իրականացվել սինխրոն՝ կիբեր թիմի կողմից անցկացվող հարցազրույցի միջոցով կամ

նաև ասինխրոն՝ առցանց հարցաթերթիկ լրացնելով։

Մենք կարող ենք օգնել ձեզ, դիմեք մասնագետներին ilwebcreativo.գրում է info@-ինilwebcreativo.it կամ զրուցելով whatsapp-ով ուղղակիորեն՝ օգտագործելով ներքևի աջ կողմում գտնվող պատկերակը:

ԱՆՎՏԱՆԳՈՒԹՅԱՆ ՎԵԲ ՄՈՆԻՏՈՐԻՆԳ. ՄՈՒԹ ՎԵԲ-ի վերլուծություն

Մութ ցանցը վերաբերում է Համաշխարհային ցանցի բովանդակությանը մութ ցանցերում, որոնց կարելի է հասնել ինտերնետի միջոցով հատուկ ծրագրաշարի, կոնֆիգուրացիաների և մուտքերի միջոցով:
Անվտանգության վեբ մոնիտորինգի միջոցով մենք կարող ենք կանխել և պարունակել կիբեր հարձակումները՝ սկսած ընկերության տիրույթի վերլուծությունից (օրինակ՝ ilwebcreativo.it ) և առանձին էլփոստի հասցեներ:

Կապվեք մեզ հետ vhatsapp-ի միջոցով, մենք կարող ենք պատրաստել վերականգնման ծրագիր՝ սպառնալիքը մեկուսացնելու, դրա տարածումը կանխելու և կանխելու համար: defiձեռնարկում ենք անհրաժեշտ վերականգնողական գործողություններ։ Ծառայությունը մատուցվում է 24/XNUMX Իտալիայից

CYBERDRIVE. անվտանգ ծրագիր ֆայլերի փոխանակման և խմբագրման համար

CyberDrive-ը ամպային ֆայլերի կառավարիչ է, որն ունի անվտանգության բարձր չափանիշներ՝ բոլոր ֆայլերի անկախ կոդավորման շնորհիվ: Ապահովեք կորպորատիվ տվյալների անվտանգությունը ամպում աշխատելու և այլ օգտատերերի հետ փաստաթղթերի փոխանակման և խմբագրման ընթացքում: Եթե ​​կապը կորչում է, օգտվողի համակարգչում տվյալներ չեն պահվում: CyberDrive-ը կանխում է ֆայլերի կորուստը պատահական վնասվածքի պատճառով կամ արտազատվում է գողության համար՝ լինի դա ֆիզիկական, թե թվային:

«The CUBE». հեղափոխական լուծում

Ամենափոքր և ամենահզոր տվյալների կենտրոնը, որն առաջարկում է հաշվողական հզորություն և պաշտպանություն ֆիզիկական և տրամաբանական վնասներից: Նախագծված է տվյալների կառավարման եզրային և ռոբո միջավայրերում, մանրածախ առևտրի միջավայրերում, մասնագիտական ​​գրասենյակներում, հեռավոր գրասենյակներում և փոքր բիզնեսներում, որտեղ տարածքը, ծախսերը և էներգիայի սպառումը կարևոր են: Այն չի պահանջում տվյալների կենտրոններ և դարակաշարեր: Աշխատանքային տարածքների հետ ներդաշնակ ազդեցության գեղագիտության շնորհիվ այն կարող է տեղակայվել ցանկացած տեսակի միջավայրում: «The Cube»-ը ձեռնարկությունների ծրագրային տեխնոլոգիաները դնում է փոքր և միջին բիզնեսի ծառայության մեջ:

Ով է լուծում.

Անվտանգության խնդիրները հետաքննելու, խոցելիությունները լուծելու, ձեր տեղեկատվական համակարգը պաշտպանելու համար միշտ ապավինեք ոլորտի մասնագետներին.

• Անգեր HRC srl + 39 011 8190569
• կամ էլ-նամակ ուղարկեք Rocco D'Agostino rda@rhrcsrl.it հասցեին
• կամ ուղարկել էլ Ercole Palmeri ercolep@ilwebcreativo.իտ

Անցած շաբաթների ընթացքում մենք զբաղվել ենք կիբերանվտանգության վերաբերյալ հետևյալ թեմաներով.

1. Հիմնական հարձակման մեջ
2. չարամիտ
3. Ֆիշինգ և նիզակային ֆիշինգ
4. Հարձակում ընդհատումով
5. Ավտոմեքենայով
6. Կայքի խաչաձև սկրիպտավորում (XSS)
7. SQL ներարկման հարձակում
8. Վնասակար ծրագրերի տարածման օրինակ
9. Google Drive և Dropbox. APT29-ի թիրախ, ռուս հաքերների կոլեկտիվ
10. Հարձակում գաղտնաբառերի վրա
11. Կիբեր հարձակման միտումներ. առաջին կիսամյակի հաշվետվություն 2022 - Check Point Software

Ercole PalmeriՆորարարության կախվածություն

â € <