Կիբերանվտանգության փորձագետները տեղեկատվություն են տարածել հանրահայտ բաց կոդով հավելվածներում երեք միջկայքային սկրիպտավորման (XSS) խոցելիության մասին, որոնք կարող են առաջացնել հեռակա կոդի կատարում (RCE):
Պարզունակ XSS հարձակումը թույլ է տալիս սպառնալիքի դերակատարի JavaScript կոդը գործարկել զոհի օգտատիրոջ վեբ բրաուզերում, որը բացում է թխուկների գողության դուռը, վերահղում դեպի ֆիշինգ կայք և շատ ավելին:
Cross-Site Scripting-ը (XSS) վեբ հավելվածներում ամենատարածված հարձակումներից է: Եթե սպառնալիքի դերակատարը ներդնում է javascript կոդը հավելվածի ելքում, այն ոչ միայն գողանում է թխուկները, այլև երբեմն հանգեցնում է համակարգերի ամբողջական փոխզիջման:
Առաջին սխալը՝ Evolution CMS V3.1.8, թույլ է տալիս հաքերին արտացոլված XSS հարձակում գործարկել կառավարման բաժնի տարբեր վայրերում: Ալեքսեյ Սոլովևը նշում է, որ համակարգում լիազորված ադմինիստրատորի վրա հաջող հարձակման դեպքում index.php ֆայլը կվերագրվի այն ծածկագրով, որը հարձակվողը տեղադրել է ծանրաբեռնվածության մեջ:
Երկրորդ խոցելիությունը, որը հայտնաբերված է FUDForum v3.1.1-ում, կարող է թույլ տալ հաքերին իրականացնել պահված XSS գրոհ: Ալեքսեյ Սոլովևն ասում է, որ FUDforum-ը գերարագ և մասշտաբային քննարկման ֆորում է: Այն շատ հարմարեցված է և աջակցում է անսահմանափակ անդամների, ֆորումների, գրառումների, թեմաների, հարցումների և հավելվածների:
FUDforum-ի կառավարման վահանակն ունի ֆայլերի կառավարիչ, որը թույլ է տալիս ֆայլեր վերբեռնել սերվեր, ներառյալ PHP ընդլայնում ունեցող ֆայլերը: Հարձակվողը կարող է օգտագործել արխիվացված XSS՝ վերբեռնելու PHP ֆայլ, որը կարող է կատարել ցանկացած հրաման սերվերի վրա:
Վերջին խոցելիության մեջ՝ Bitbucket v4.37.1-ում, հայտնաբերվել է անվտանգության վրիպակ, որը կարող է հարձակվողին թույլ տալ տարբեր վայրերում պահվող XSS գրոհ սկսել: Ալեքսեյ Սոլովևը նշում է, որ արխիվացված XSS հարձակումը կարող է փորձել օգտագործել այն սերվերում կոդը գործարկելու համար: Ադմինիստրատորի վահանակն ունի SQL հարցումներ գործարկելու գործիքներ:
GitBucket-ը լռելյայն օգտագործում է H2 Database Engine-ըdefiնիտա. Այս տվյալների բազայի համար կա հանրային հասանելի շահագործում, որը կարող է հասնել հեռավոր կոդի կատարման: Այսպիսով, հարձակվողին պետք է ընդամենը ստեղծել PoC կոդ՝ հիմնվելով այս շահագործման վրա, վերբեռնել այն պահեստարան և օգտագործել այն հարձակման ժամանակ.
Միշտ թարմացրե՛ք բաց կոդով պլատֆորմը, անմիջապես տեղադրե՛ք ցանկացած ուղղիչ կարկատներ:
Հարցրեք խորհուրդ, գնահատում, գնահատում, թե ինչպես ապահովել ձեր համակարգը:
Դա ձեր ընկերության անվտանգության ներկայիս մակարդակը չափելու հիմնական գործընթացն է:
Դա անելու համար անհրաժեշտ է ներգրավել համարժեքորեն պատրաստված կիբեր թիմ, որը կկարողանա վերլուծել այն վիճակը, որում գտնվում է ընկերությունը ՏՏ անվտանգության առումով:
Վերլուծությունը կարող է իրականացվել սինխրոն՝ կիբեր թիմի կողմից անցկացվող հարցազրույցի միջոցով կամ
նաև ասինխրոն՝ առցանց հարցաթերթիկ լրացնելով։
Մենք կարող ենք օգնել ձեզ, դիմեք մասնագետներին ilwebcreativo.գրում է info@-ինilwebcreativo.it կամ զրուցելով whatsapp-ով ուղղակիորեն՝ օգտագործելով ներքևի աջ կողմում գտնվող պատկերակը:
Մութ ցանցը վերաբերում է Համաշխարհային ցանցի բովանդակությանը մութ ցանցերում, որոնց կարելի է հասնել ինտերնետի միջոցով հատուկ ծրագրաշարի, կոնֆիգուրացիաների և մուտքերի միջոցով:
Անվտանգության վեբ մոնիտորինգի միջոցով մենք կարող ենք կանխել և պարունակել կիբեր հարձակումները՝ սկսած ընկերության տիրույթի վերլուծությունից (օրինակ՝ ilwebcreativo.it ) և առանձին էլփոստի հասցեներ:
Կապվեք մեզ հետ vhatsapp-ի միջոցով, մենք կարող ենք պատրաստել վերականգնման ծրագիր՝ սպառնալիքը մեկուսացնելու, դրա տարածումը կանխելու և կանխելու համար: defiձեռնարկում ենք անհրաժեշտ վերականգնողական գործողություններ։ Ծառայությունը մատուցվում է 24/XNUMX Իտալիայից
CyberDrive-ը ամպային ֆայլերի կառավարիչ է, որն ունի անվտանգության բարձր չափանիշներ՝ բոլոր ֆայլերի անկախ կոդավորման շնորհիվ: Ապահովեք կորպորատիվ տվյալների անվտանգությունը ամպում աշխատելու և այլ օգտատերերի հետ փաստաթղթերի փոխանակման և խմբագրման ընթացքում: Եթե կապը կորչում է, օգտվողի համակարգչում տվյալներ չեն պահվում: CyberDrive-ը կանխում է ֆայլերի կորուստը պատահական վնասվածքի պատճառով կամ արտազատվում է գողության համար՝ լինի դա ֆիզիկական, թե թվային:
Ամենափոքր և ամենահզոր տվյալների կենտրոնը, որն առաջարկում է հաշվողական հզորություն և պաշտպանություն ֆիզիկական և տրամաբանական վնասներից: Նախագծված է տվյալների կառավարման եզրային և ռոբո միջավայրերում, մանրածախ առևտրի միջավայրերում, մասնագիտական գրասենյակներում, հեռավոր գրասենյակներում և փոքր բիզնեսներում, որտեղ տարածքը, ծախսերը և էներգիայի սպառումը կարևոր են: Այն չի պահանջում տվյալների կենտրոններ և դարակաշարեր: Աշխատանքային տարածքների հետ ներդաշնակ ազդեցության գեղագիտության շնորհիվ այն կարող է տեղակայվել ցանկացած տեսակի միջավայրում: «The Cube»-ը ձեռնարկությունների ծրագրային տեխնոլոգիաները դնում է փոքր և միջին բիզնեսի ծառայության մեջ:
Անվտանգության խնդիրները հետաքննելու, խոցելիությունները լուծելու, ձեր տեղեկատվական համակարգը պաշտպանելու համար միշտ ապավինեք ոլորտի մասնագետներին.
Ercole PalmeriՆորարարության կախվածություն
â € <
Google DeepMind-ը ներկայացնում է արհեստական ինտելեկտի իր մոդելի կատարելագործված տարբերակը։ Նոր բարելավված մոդելն ապահովում է ոչ միայն…
Laravel-ը, որը հայտնի է իր էլեգանտ շարահյուսությամբ և հզոր հատկանիշներով, նաև ամուր հիմք է ստեղծում մոդուլային ճարտարապետության համար: Այնտեղ…
Cisco-ն և Splunk-ն օգնում են հաճախորդներին արագացնել իրենց ճանապարհորդությունը դեպի ապագա Անվտանգության գործառնությունների կենտրոն (SOC)…
Ransomware-ը գերիշխում է նորությունների մեջ վերջին երկու տարիների ընթացքում: Շատերը լավ գիտեն, որ հարձակումները…
Կատանիայի պոլիկլինիկայում ակնաբուժական վիրահատություն է կատարվել Apple Vision Pro գովազդային հեռուստադիտողի միջոցով…
Գունավորելու միջոցով նուրբ շարժիչ հմտությունների զարգացումը երեխաներին պատրաստում է ավելի բարդ հմտությունների, ինչպիսին է գրելը: Գունավորելու…
Ծովային ոլորտը իսկական համաշխարհային տնտեսական տերություն է, որը նավարկվել է դեպի 150 միլիարդանոց շուկա...
Անցյալ երկուշաբթի Financial Times-ը հայտարարեց OpenAI-ի հետ գործարքի մասին: FT-ն արտոնագրում է իր համաշխարհային մակարդակի լրագրությունը…