კიბერუსაფრთხოების ექსპერტებმა გაავრცელეს ინფორმაცია სამი ჯვარედინი სკრიპტის (XSS) დაუცველობის შესახებ პოპულარულ ღია კოდის აპლიკაციებში, რამაც შეიძლება გამოიწვიოს კოდის დისტანციური შესრულება (RCE).
პრიმიტიული XSS შეტევა საშუალებას აძლევს საფრთხის აქტორის JavaScript კოდი შესრულდეს მსხვერპლი მომხმარებლის ვებ ბრაუზერში, რომელიც ხსნის კარს ქუქიების ქურდობისთვის, გადამისამართებს ფიშინგის საიტზე და მრავალი სხვა.
Cross-Site Scripting (XSS) არის ერთ-ერთი ყველაზე გავრცელებული შეტევა ვებ აპებში. თუ საფრთხის შემქმნელი ახორციელებს javascript კოდს აპის გამომავალში, ის არა მხოლოდ იპარავს ქუქი-ფაილებს, არამედ ზოგჯერ იწვევს სისტემების სრულ კომპრომისამდე.
პირველი შეცდომა, Evolution CMS V3.1.8, საშუალებას აძლევს ჰაკერს განახორციელოს ასახული XSS შეტევა ადმინისტრაციის განყოფილების სხვადასხვა ადგილას. ალექსეი სოლოვივი აცხადებს, რომ სისტემაში ავტორიზებულ ადმინისტრატორზე წარმატებული თავდასხმის შემთხვევაში, index.php ფაილი გადაიწერება კოდით, რომელიც თავდამსხმელმა მოათავსა payload-ში.
მეორე დაუცველობა, რომელიც აღმოჩენილია FUDForum v3.1.1-ში, შეუძლია ჰაკერს დაუშვას შენახული XSS შეტევა. ალექსეი სოლოევი ამბობს, რომ FUDforum არის სუპერ სწრაფი და მასშტაბური სადისკუსიო ფორუმი. ის უაღრესად კონფიგურირებადია და მხარს უჭერს შეუზღუდავ წევრებს, ფორუმებს, პოსტებს, თემებს, გამოკითხვებს და დანართებს.
FUDforum-ის ადმინისტრაციულ პანელს აქვს ფაილების მენეჯერი, რომელიც საშუალებას გაძლევთ ატვირთოთ ფაილები სერვერზე, მათ შორის ფაილები PHP გაფართოებით. თავდამსხმელს შეუძლია გამოიყენოს დაარქივებული XSS PHP ფაილის ასატვირთად, რომელსაც შეუძლია შეასრულოს ნებისმიერი ბრძანება სერვერზე.
უახლეს დაუცველობაში, Bitbucket v4.37.1, აღმოჩნდა უსაფრთხოების ხარვეზი, რომელიც საშუალებას მისცემს თავდამსხმელს განეხორციელებინა XSS შეტევა, რომელიც ინახება სხვადასხვა ადგილას. ალექსეი სოლოვივი აცხადებს, რომ დაარქივებული XSS შეტევა შეიძლება შეეცადოს გამოიყენოს იგი სერვერზე კოდის შესასრულებლად. ადმინისტრაციულ პანელს აქვს ინსტრუმენტები SQL მოთხოვნების გასაშვებად.
GitBucket იყენებს H2 მონაცემთა ბაზის ძრავას ნაგულისხმევადdefiნიტა. ამ მონაცემთა ბაზისთვის არის საჯაროდ ხელმისაწვდომი ექსპლოიტი დისტანციური კოდის შესრულების მისაღწევად. ასე რომ, თავდამსხმელმა მხოლოდ უნდა შექმნას PoC კოდი ამ ექსპლოიტის საფუძველზე, ატვირთოს იგი საცავში და გამოიყენოს იგი შეტევის დროს:
ყოველთვის განაახლეთ ღია კოდის პლატფორმა, დაუყოვნებლივ დააინსტალირეთ ნებისმიერი მაკორექტირებელი პატჩი.
ითხოვეთ რჩევა, შეფასება, შეფასება, თუ როგორ დაიცვათ თქვენი სისტემა.
ეს არის ფუნდამენტური პროცესი თქვენი კომპანიის უსაფრთხოების ამჟამინდელი დონის გასაზომად.
ამისათვის აუცილებელია ადეკვატურად მომზადებული კიბერ გუნდის ჩართვა, რომელსაც შეუძლია განახორციელოს იმ მდგომარეობის ანალიზი, რომელშიც იმყოფება კომპანია IT უსაფრთხოების კუთხით.
ანალიზი შეიძლება განხორციელდეს სინქრონულად, კიბერ გუნდის მიერ ჩატარებული ინტერვიუს მეშვეობით ან
ასევე ასინქრონული, ონლაინ კითხვარის შევსებით.
ჩვენ შეგვიძლია დაგეხმაროთ, დაუკავშირდით სპეციალისტებს ilwebcreativoწერს info@-ზეilwebcreativo.ეს ან Whatsapp-ზე ჩეთის საშუალებით პირდაპირ ქვედა მარჯვენა კუთხეში არსებული ხატის გამოყენებით.
ბნელი ქსელი გულისხმობს მსოფლიო ქსელის შიგთავსს ბნელ ქსელებში, რომლის მიღწევაც შესაძლებელია ინტერნეტის საშუალებით კონკრეტული პროგრამული უზრუნველყოფის, კონფიგურაციებისა და წვდომის საშუალებით.
ჩვენი უსაფრთხოების ვებ მონიტორინგის საშუალებით ჩვენ შეგვიძლია თავიდან ავიცილოთ და შევიკავოთ კიბერშეტევები, დაწყებული კომპანიის დომენის ანალიზიდან (მაგ.: ilwebcreativo.it ) და ინდივიდუალური ელექტრონული ფოსტის მისამართები.
დაგვიკავშირდით vhatsapp-ის საშუალებით, ჩვენ შეგვიძლია მოვამზადოთ სარეაბილიტაციო გეგმა საფრთხის იზოლირებისთვის, მისი გავრცელების თავიდან ასაცილებლად და defiჩვენ ვიღებთ აუცილებელ სარემონტო ზომებს. მომსახურება იტალიიდან 24/XNUMX
CyberDrive არის ღრუბლოვანი ფაილების მენეჯერი უსაფრთხოების მაღალი სტანდარტებით, ყველა ფაილის დამოუკიდებელი დაშიფვრის წყალობით. უზრუნველყოს კორპორატიული მონაცემების უსაფრთხოება ღრუბელში მუშაობისას და სხვა მომხმარებლებთან დოკუმენტების გაზიარებისა და რედაქტირებისას. თუ კავშირი დაიკარგება, მონაცემები არ ინახება მომხმარებლის კომპიუტერში. CyberDrive ხელს უშლის ფაილების დაკარგვას შემთხვევითი დაზიანების გამო ან ქურდობისთვის ექსფილტრაციისგან, იქნება ეს ფიზიკური თუ ციფრული.
ყველაზე პატარა და მძლავრი მონაცემთა ცენტრი, რომელიც გთავაზობთ გამოთვლით ძალას და დაცვას ფიზიკური და ლოგიკური დაზიანებისგან. შექმნილია მონაცემთა მართვისთვის ზღვრულ და რობოტ გარემოში, საცალო ვაჭრობის გარემოში, პროფესიონალურ ოფისებში, დისტანციურ ოფისებში და მცირე ბიზნესებში, სადაც სივრცე, ღირებულება და ენერგიის მოხმარება აუცილებელია. მას არ სჭირდება მონაცემთა ცენტრები და თაროების კაბინეტები. ის შეიძლება განთავსდეს ნებისმიერ ტიპის გარემოში, ზემოქმედების ესთეტიკის წყალობით, სამუშაო სივრცეებთან ჰარმონიაში. "The Cube" საწარმოს პროგრამულ ტექნოლოგიას მცირე და საშუალო ბიზნესის სამსახურში აყენებს.
უსაფრთხოების საკითხების გამოსაძიებლად, მოწყვლადობის გადასაჭრელად, თქვენი საინფორმაციო სისტემის დასაცავად, ყოველთვის დაეყრდნოთ სექტორის სპეციალისტებს:
Ercole Palmeri: ინოვაციაზე დამოკიდებული
ნებისმიერი ბიზნეს ოპერაცია აწარმოებს უამრავ მონაცემს, თუნდაც სხვადასხვა ფორმით. ხელით შეიყვანეთ ეს მონაცემები Excel ფურცლიდან…
კომპანიის ელ.ფოსტის კომპრომისი ორჯერ გაიზარდა 2024 წლის პირველ სამ თვეში, ბოლო კვარტალთან შედარებით…
ინტერფეისის სეგრეგაციის პრინციპი არის ობიექტზე ორიენტირებული დიზაინის ხუთი მყარი პრინციპიდან ერთ-ერთი. კლასს უნდა ჰქონდეს…
Microsoft Excel არის მონაცემთა ანალიზის საცნობარო ინსტრუმენტი, რადგან ის გთავაზობთ მრავალ ფუნქციას მონაცემთა ნაკრების ორგანიზებისთვის,…
Walliance, SIM და პლატფორმა ევროპის ლიდერებს შორის უძრავი ქონების Crowdfunding-ის სფეროში 2017 წლიდან, აცხადებს დასრულებას…
Filament არის "აჩქარებული" Laravel განვითარების ჩარჩო, რომელიც უზრუნველყოფს რამდენიმე სრული დასტას კომპონენტს. იგი შექმნილია პროცესის გასამარტივებლად…
„მე უნდა დავბრუნდე, რომ დავასრულო ჩემი ევოლუცია: მე კომპიუტერში საკუთარ თავს პროექტირებას მოვახდენ და სუფთა ენერგია გავხდები. მას შემდეგ რაც დასახლდა…
Google DeepMind წარმოგიდგენთ ხელოვნური ინტელექტის მოდელის გაუმჯობესებულ ვერსიას. ახალი გაუმჯობესებული მოდელი უზრუნველყოფს არა მხოლოდ…