Pisporên ewlehiya sîber di serîlêdanên çavkaniya vekirî ya populer de ku dikare bibe sedema darvekirina kodê ji dûr ve (RCE) de agahdarî li ser sê qelsiyên nivîsandina xaçerê (XSS) belav kirine.
Êrîşek XSS ya seretayî dihêle ku koda JavaScript-a lîstikvanê xetereyê di geroka webê ya bikarhênerê mexdûr de were darve kirin, ku derî li dizîna cookie-yê vedike, beralî dike ji bo malperek phishing, û hêj bêtir.
Nivîsandina Xaça Malperê (XSS) yek ji êrîşên herî berbelav di sepanên webê de ye. Ger lîstikvanek tehdîdê koda javascriptê di derana sepanê de bicîh bike, ew ne tenê çerezan dizîne, lê carinan jî dibe sedema lihevkirina bi tevahî ya pergalê.
Bûka yekem, Evolution CMS V3.1.8, dihêle hackerek li cîhên cihêreng ên di beşa rêveberiyê de êrîşek XSS-ya ronîkirî bide destpêkirin. Aleksey Solovev diyar dike ku di bûyera êrîşek serketî de li ser rêveberek destûrdar di pergalê de, pelê index.php dê bi koda ku êrîşkar di nav barkirinê de bi cih kiriye were nivîsandin.
Zehfbûna duyemîn, ku di FUDForum v3.1.1 de hat dîtin, dikare rê bide hackerek ku êrîşek XSS-ê hilanîn bike. Aleksey Solovev dibêje ku FUDforum forumek nîqaşê ya super bilez û berbelav e. Ew pir xwerû ye û endamên bêsînor, forum, post, mijar, anket û pêvekan piştgirî dike.
Panela rêveberiya FUDforum xwedan rêveberek pelê ye ku dihêle hûn pelan li serverê bar bikin, tevî pelên bi dirêjkirina PHP-ê. Êrîşkarek dikare XSS-a arşîvkirî bikar bîne da ku pelek PHP-ê ku dikare her fermanek li ser serverê bicîh bîne bar bike.
Di qelsiya herî dawî de, Bitbucket v4.37.1, xeletiyek ewlehiyê hate dîtin ku dikaribû rê bide êrîşkar ku êrîşek XSS ku li cîhên cihêreng hatî hilanîn bike. Aleksey Solovev dibêje ku hebûna êrîşek XSS ya arşîvkirî dikare hewl bide ku wê bikar bîne da ku kodê li ser serverê bicîh bike. Di panela rêveberiyê de amûrên ku pirsên SQL dimeşînin hene.
GitBucket ji hêla xwerû ve Engine Database H2 bikar tînedefinita. Ji bo vê databasê, îstîsmarek gelemperî heye ku bigihîje darvekirina koda dûr. Ji ber vê yekê, ya ku êrîşkarek pêdivî ye ku bike ev e ku kodek PoC-ê li ser bingeha vê îstîsmarê biafirîne, wê li depoyê bar bike û di dema êrîşê de bikar bîne:
Her gav platforma Çavkaniya Vekirî nûve bikin, tavilê pêçekên rastker saz bikin.
Ji bo şêwirdariyê, nirxandinek, texmînek li ser meriv çawa pergala xwe ewleh bike bipirsin.
Ew pêvajoya bingehîn e ji bo pîvandina asta ewlehiya heyî ya pargîdaniya we.
Ji bo kirina vê yekê, pêdivî ye ku Tîmek Cyber bi têra xwe amadekirî tev bigere, ku bikaribe analîzek li ser rewşa ku pargîdanî tê de ye bi rêzgirtina ewlehiya IT-ê re pêk bîne.
Analîz dikare bi hevdemî, bi hevpeyivînek ku ji hêla Tîma Cyber an ve hatî çêkirin, were kirin
jî asînkron, bi dagirtina pirsnameyek serhêl.
Em dikarin ji we re bibin alîkar, bi pisporên xwe re têkilî daynin ilwebcreativo.ew ji info@ re dinivîseilwebcreativo.ew an bi sohbeta li ser whatsapp-ê rasterast bi karanîna îkonê li binê rastê.
Tevna tarî naverokên tevna gerdûnî ya cîhanî ya di nav torên tarî de ku bi navgîniya nermalava taybetî, veavakirin û gihîştinan bi riya Înternetê ve tê gihîştinê vedibêje.
Bi Çavdêriya Tevna Ewlekariyê ya Ewlekariyê re, em dikarin pêşî li êrîşên sîber bigirin, ji analîzkirina qada pargîdaniyê dest pê bikin (mînak: ilwebcreativo.it ) û navnîşanên e-nameyê yên kesane.
Bi rêya vhatsappê bi me re têkilî daynin, em dikarin ji bo veqetandina metirsiyê, pêşîgirtina li belavbûna wê, plansaziyek sererastkirinê amade bikin. defiem tedbîrên pêwîst ên çareserkirinê digrin. Karûbar 24/XNUMX ji Îtalyayê tê peyda kirin
CyberDrive ji ber şîfrekirina serbixwe ya hemî pelan rêveberek pelê ewr e ku bi standardên ewlehiyê yên bilind re ye. Dema ku di ewr de dixebitin û bi bikarhênerên din re belgeyan parve dikin û biguhezînin ewlehiya daneyên pargîdaniyê bicîh bikin. Ger girêdan winda bibe, tu data li ser PC-ya bikarhêner nayê hilanîn. CyberDrive pêşî li windabûna pelan ji ber zirara bêserûber digire an ji bo diziyê têne derxistin, fizîkî be an dîjîtal be.
Navenda daneyê ya herî piçûk û herî hêzdar ku hêza hesabkirinê û parastina ji zirara laşî û mentiqî peyda dike. Ji bo rêveberiya daneyê li hawîrdorên qerax û robo, hawîrdorên firotanê, ofîsên pîşeyî, ofîsên dûr û karsaziyên piçûk ên ku cîh, lêçûn û xerckirina enerjiyê hewce ne hatine sêwirandin. Ew hewceyê navendên daneyê û kabîneyên rackê nake. Bi saya estetîka bandorê ya ku bi qadên xebatê re lihevhatî ye, ew dikare di her cûre jîngehê de were bicîh kirin. «The Cube» teknolojiya nermalava pargîdaniyê dixe xizmeta karsaziyên piçûk û navîn.
Ji bo vekolîna pirsgirêkên ewlehiyê, ji bo çareserkirina qelsiyan, ji bo ewlehiya pergala agahdariya xwe, her gav xwe bispêrin pisporên di sektorê de:
Ercole Palmeri: Nûjenî girêdaye
To
Her operasyona karsaziyê gelek daneyan hildiberîne, tewra di formên cûda de. Vê daneyê bi destan ji pelek Excel têkevin…
Lihevkirina e-nameyên pargîdanî di sê mehên yekem ên 2024-an de li gorî çaryeka paşîn a…
Prensîba veqetandina navberê yek ji pênc prensîbên SOLID yên sêwirana objekt-oriented e. Divê polê hebe…
Microsoft Excel ji bo analîzkirina daneyê amûrek referansê ye, ji ber ku ew ji bo organîzekirina daneyan gelek taybetmendiyan pêşkêşî dike,…
Walliance, SIM û platformê di nav serokên li Ewrûpayê de di warê 2017-an û vir ve Qedexekirina Nekêşbar ragihand…
Filament çarçoveyek pêşkeftina Laravel "lezkirî" ye, ku gelek pêkhateyên tev-stack peyda dike. Ew ji bo hêsankirina pêvajoya…
"Divê ez vegerim da ku pêşveçûna xwe temam bikim: Ez ê xwe di hundurê komputerê de proje bikim û bibim enerjiya paqij. Dema ku li…
Google DeepMind guhertoyek çêtir a modela xweya îstîxbarata sûnî destnîşan dike. Modela nû ya pêşkeftî ne tenê peyda dike…