კიბერ შეტევა: რა არის, როგორ მუშაობს, მიზანი და როგორ ავიცილოთ თავიდან: XSS შეცდომები, რომლებმაც შეიძლება გამოიწვიოს სისტემის სრული გამორთვა

დღეს ჩვენ ვხედავთ რამდენიმე ჯვარედინი საიტის სკრიპტის (XSS) დაუცველობას, რომელიც ნაპოვნია ღია კოდის ზოგიერთ აპლიკაციაში და რამაც შეიძლება გამოიწვიოს კოდის დისტანციური შესრულება.

კიბერუსაფრთხოების ექსპერტებმა გაავრცელეს ინფორმაცია სამი ჯვარედინი სკრიპტის (XSS) დაუცველობის შესახებ პოპულარულ ღია კოდის აპლიკაციებში, რამაც შეიძლება გამოიწვიოს კოდის დისტანციური შესრულება (RCE).

პრიმიტიული XSS შეტევა საშუალებას აძლევს საფრთხის აქტორის JavaScript კოდი შესრულდეს მსხვერპლი მომხმარებლის ვებ ბრაუზერში, რომელიც ხსნის კარს ქუქიების ქურდობისთვის, გადამისამართებს ფიშინგის საიტზე და მრავალი სხვა.

ახლა ვნახოთ აღმოჩენილი დაუცველობა

Cross-Site Scripting (XSS) არის ერთ-ერთი ყველაზე გავრცელებული შეტევა ვებ აპებში. თუ საფრთხის შემქმნელი ახორციელებს javascript კოდს აპის გამომავალში, ის არა მხოლოდ იპარავს ქუქი-ფაილებს, არამედ ზოგჯერ იწვევს სისტემების სრულ კომპრომისამდე.

Evolution CMS V3.1.8

პირველი შეცდომა, Evolution CMS V3.1.8, საშუალებას აძლევს ჰაკერს განახორციელოს ასახული XSS შეტევა ადმინისტრაციის განყოფილების სხვადასხვა ადგილას. ალექსეი სოლოვივი აცხადებს, რომ სისტემაში ავტორიზებულ ადმინისტრატორზე წარმატებული თავდასხმის შემთხვევაში, index.php ფაილი გადაიწერება კოდით, რომელიც თავდამსხმელმა მოათავსა payload-ში.

FUD ფორუმი v3.1.1

მეორე დაუცველობა, რომელიც აღმოჩენილია FUDForum v3.1.1-ში, შეუძლია ჰაკერს დაუშვას შენახული XSS შეტევა. ალექსეი სოლოევი ამბობს, რომ FUDforum არის სუპერ სწრაფი და მასშტაბური სადისკუსიო ფორუმი. ის უაღრესად კონფიგურირებადია და მხარს უჭერს შეუზღუდავ წევრებს, ფორუმებს, პოსტებს, თემებს, გამოკითხვებს და დანართებს.

FUDforum-ის ადმინისტრაციულ პანელს აქვს ფაილების მენეჯერი, რომელიც საშუალებას გაძლევთ ატვირთოთ ფაილები სერვერზე, მათ შორის ფაილები PHP გაფართოებით. თავდამსხმელს შეუძლია გამოიყენოს დაარქივებული XSS PHP ფაილის ასატვირთად, რომელსაც შეუძლია შეასრულოს ნებისმიერი ბრძანება სერვერზე.

Bitbucket v4.37.1

უახლეს დაუცველობაში, Bitbucket v4.37.1, აღმოჩნდა უსაფრთხოების ხარვეზი, რომელიც საშუალებას მისცემს თავდამსხმელს განეხორციელებინა XSS შეტევა, რომელიც ინახება სხვადასხვა ადგილას. ალექსეი სოლოვივი აცხადებს, რომ დაარქივებული XSS შეტევა შეიძლება შეეცადოს გამოიყენოს იგი სერვერზე კოდის შესასრულებლად. ადმინისტრაციულ პანელს აქვს ინსტრუმენტები SQL მოთხოვნების გასაშვებად.

GitBucket იყენებს H2 მონაცემთა ბაზის ძრავას ნაგულისხმევადdefiნიტა. ამ მონაცემთა ბაზისთვის არის საჯაროდ ხელმისაწვდომი ექსპლოიტი დისტანციური კოდის შესრულების მისაღწევად. ასე რომ, თავდამსხმელმა მხოლოდ უნდა შექმნას PoC კოდი ამ ექსპლოიტის საფუძველზე, ატვირთოს იგი საცავში და გამოიყენოს იგი შეტევის დროს:

როგორ ავიცილოთ თავიდან დაუცველობის არსებობა

ყოველთვის განაახლეთ ღია კოდის პლატფორმა, დაუყოვნებლივ დააინსტალირეთ ნებისმიერი მაკორექტირებელი პატჩი.

ითხოვეთ რჩევა, შეფასება, შეფასება, თუ როგორ დაიცვათ თქვენი სისტემა.

უსაფრთხოების შეფასება

ეს არის ფუნდამენტური პროცესი თქვენი კომპანიის უსაფრთხოების ამჟამინდელი დონის გასაზომად.

ამისათვის აუცილებელია ადეკვატურად მომზადებული კიბერ გუნდის ჩართვა, რომელსაც შეუძლია განახორციელოს იმ მდგომარეობის ანალიზი, რომელშიც იმყოფება კომპანია IT უსაფრთხოების კუთხით.

ანალიზი შეიძლება განხორციელდეს სინქრონულად, კიბერ გუნდის მიერ ჩატარებული ინტერვიუს მეშვეობით ან

ასევე ასინქრონული, ონლაინ კითხვარის შევსებით.

ჩვენ შეგვიძლია დაგეხმაროთ, დაუკავშირდით სპეციალისტებს ilwebcreativoწერს info@-ზეilwebcreativo.ეს ან Whatsapp-ზე ჩეთის საშუალებით პირდაპირ ქვედა მარჯვენა კუთხეში არსებული ხატის გამოყენებით.

SECURITY WEB MONITORING: DARK WEB-ის ანალიზი

ბნელი ქსელი გულისხმობს მსოფლიო ქსელის შიგთავსს ბნელ ქსელებში, რომლის მიღწევაც შესაძლებელია ინტერნეტის საშუალებით კონკრეტული პროგრამული უზრუნველყოფის, კონფიგურაციებისა და წვდომის საშუალებით.
ჩვენი უსაფრთხოების ვებ მონიტორინგის საშუალებით ჩვენ შეგვიძლია თავიდან ავიცილოთ და შევიკავოთ კიბერშეტევები, დაწყებული კომპანიის დომენის ანალიზიდან (მაგ.: ilwebcreativo.it ) და ინდივიდუალური ელექტრონული ფოსტის მისამართები.

დაგვიკავშირდით vhatsapp-ის საშუალებით, ჩვენ შეგვიძლია მოვამზადოთ სარეაბილიტაციო გეგმა საფრთხის იზოლირებისთვის, მისი გავრცელების თავიდან ასაცილებლად და defiჩვენ ვიღებთ აუცილებელ სარემონტო ზომებს. მომსახურება იტალიიდან 24/XNUMX

CYBERDRIVE: უსაფრთხო აპლიკაცია ფაილების გაზიარებისა და რედაქტირებისთვის

CyberDrive არის ღრუბლოვანი ფაილების მენეჯერი უსაფრთხოების მაღალი სტანდარტებით, ყველა ფაილის დამოუკიდებელი დაშიფვრის წყალობით. უზრუნველყოს კორპორატიული მონაცემების უსაფრთხოება ღრუბელში მუშაობისას და სხვა მომხმარებლებთან დოკუმენტების გაზიარებისა და რედაქტირებისას. თუ კავშირი დაიკარგება, მონაცემები არ ინახება მომხმარებლის კომპიუტერში. CyberDrive ხელს უშლის ფაილების დაკარგვას შემთხვევითი დაზიანების გამო ან ქურდობისთვის ექსფილტრაციისგან, იქნება ეს ფიზიკური თუ ციფრული.

"კუბი": რევოლუციური გადაწყვეტა

ყველაზე პატარა და მძლავრი მონაცემთა ცენტრი, რომელიც გთავაზობთ გამოთვლით ძალას და დაცვას ფიზიკური და ლოგიკური დაზიანებისგან. შექმნილია მონაცემთა მართვისთვის ზღვრულ და რობოტ გარემოში, საცალო ვაჭრობის გარემოში, პროფესიონალურ ოფისებში, დისტანციურ ოფისებში და მცირე ბიზნესებში, სადაც სივრცე, ღირებულება და ენერგიის მოხმარება აუცილებელია. მას არ სჭირდება მონაცემთა ცენტრები და თაროების კაბინეტები. ის შეიძლება განთავსდეს ნებისმიერ ტიპის გარემოში, ზემოქმედების ესთეტიკის წყალობით, სამუშაო სივრცეებთან ჰარმონიაში. "The Cube" საწარმოს პროგრამულ ტექნოლოგიას მცირე და საშუალო ბიზნესის სამსახურში აყენებს.

ვინ წყვეტს:

უსაფრთხოების საკითხების გამოსაძიებლად, მოწყვლადობის გადასაჭრელად, თქვენი საინფორმაციო სისტემის დასაცავად, ყოველთვის დაეყრდნოთ სექტორის სპეციალისტებს:

• ზარები HRC srl + 39 011 8190569
• ან გაგზავნეთ ელფოსტაზე Rocco D'Agostino rda@rhrcsrl.it
• ან გაუგზავნეთ ელ.წერილი Ercole Palmeri ercolep@ilwebcreativo.ეს

გასულ კვირებში ჩვენ განვიხილეთ შემდეგი თემები კიბერუსაფრთხოებასთან დაკავშირებით:

1. მთავარი შუა შეტევაში
2. malware
3. ფიშინგი და Spear ფიშინგი
4. შეტევა ჩარევით
5. Გავლა
6. ჯვრის საიტის სკრიპტირება (XSS)
7. SQL ინექციის შეტევა
8. მავნე პროგრამების გავრცელების მაგალითი
9. Google Drive და Dropbox: APT29-ის სამიზნე, რუსი ჰაკერების კოლექტივი
10. თავდასხმა პაროლებზე
11. კიბერ თავდასხმის ტენდენციები: პირველი ნახევრის ანგარიში 2022 - Check Point Software

Ercole Palmeri: ინოვაციაზე დამოკიდებული

​