Киберкоопсуздук боюнча эксперттер алыстан коддун аткарылышын (RCE) алып келиши мүмкүн болгон популярдуу ачык булактуу тиркемелердеги үч кайчылаш сайт скриптинин (XSS) алсыздыгы тууралуу маалыматты таратышты.
Примитивдүү XSS чабуулу коркунуч актерунун JavaScript кодун жабырлануучу колдонуучунун веб-браузеринде аткарууга мүмкүндүк берет, ал кукилерди уурдоого, фишинг сайтына багыттоого жана башка көптөгөн нерселерге жол ачат.
Cross-Site Scripting (XSS) веб-тиркемелердеги эң кеңири таралган чабуулдардын бири.Эгер коркунуч актеру JavaScript кодун колдонмонун чыгарылышына киргизсе, ал кукилерди гана уурдабастан, кээде системалардын толук бузулушуна алып келет.
Биринчи ката, Evolution CMS V3.1.8, хакерге административдик бөлүмдүн ар кайсы жерлеринде чагылдырылган XSS чабуулун баштоого мүмкүндүк берет. Алексей Соловев системадагы ыйгарым укуктуу администраторго ийгиликтүү чабуул жасалган учурда, index.php файлы чабуулчу пайдалуу жүккө жайгаштырган код менен кайра жазыларын айтат.
FUDForum v3.1.1де табылган экинчи алсыздык хакерге сакталган XSS чабуулун баштоого мүмкүндүк бериши мүмкүн. Алексей Соловев FUDforum супер тез жана масштабдуу талкуу форуму экенин айтат. Бул абдан ыңгайлаштырылган жана чексиз мүчөлөрдү, форумдарды, билдирүүлөрдү, темаларды, сурамжылоону жана тиркемелерди колдойт.
FUDforum башкаруу панелинде файлдарды, анын ичинде PHP кеңейтүүсү бар файлдарды серверге жүктөөгө мүмкүндүк берүүчү файл менеджери бар. Чабуулчу серверде каалаган буйрукту аткара ала турган PHP файлын жүктөө үчүн архивделген XSSти колдонушу мүмкүн.
Акыркы кемчиликте Bitbucket v4.37.1, чабуулчуга ар кайсы жерлерде сакталган XSS чабуулун баштоого мүмкүндүк бере турган коопсуздук катасы табылган. Алексей Соловевдин айтымында, архивделген XSS чабуулуна ээ болуу серверде кодду ишке ашыруу үчүн аны пайдаланууга аракет кылышы мүмкүн. Администратор панелинде SQL сурамдарын иштетүү үчүн куралдар бар.
GitBucket демейки боюнча H2 Database Engine колдонотdefiнита. Бул маалымат базасы үчүн коддун алыстан аткарылышына жетүү үчүн жалпыга жеткиликтүү эксплуатация бар. Ошентип, чабуулчу бул эксплуатациянын негизинде PoC кодун түзүп, аны репозиторийге жүктөп, чабуул учурунда колдонушу керек:
Ар дайым Open Source платформасын жаңыртыңыз, дароо оңдоочу тактарды орнотуңуз.
Сиздин системаңызды кантип коргоо керектиги боюнча кеңеш, баа, баа сураңыз.
Бул сиздин компанияңыздын учурдагы коопсуздук деңгээлин өлчөө үчүн негизги процесс.
Бул үчүн компаниянын IT коопсуздугуна карата абалына талдоо жүргүзүүгө жөндөмдүү, адекваттуу даярдалган Киберкоманданы тартуу керек.
Талдоо синхрондуу түрдө, кибер команда тарабынан жүргүзүлгөн интервью аркылуу жүргүзүлүшү мүмкүн
онлайн анкета толтуруу менен, ошондой эле асинхрондук.
Биз сизге жардам бере алабыз, адистерге кайрылыңыз ilwebcreativo.it info@ дарегине жазатilwebcreativo.it же ылдыйкы оң жактагы сөлөкөтүн колдонуп түздөн-түз whatsappта баарлашуу аркылуу.
Караңгы желе белгилүү бир программалык камсыздоо, конфигурациялар жана кирүү мүмкүнчүлүгү аркылуу Интернет аркылуу жетүүгө мүмкүн болгон карангы торлордогу World Wide Webтин мазмунун билдирет.
Коопсуздук веб-мониторинги менен биз компаниянын доменин талдоодон баштап киберчабуулдарды болтурбай жана камтый алабыз (мисалы: ilwebcreativo.it ) жана жеке электрондук почта даректери.
Биз менен vhatsapp аркылуу байланышыңыз, биз коркунучту изоляциялоо, анын жайылышын алдын алуу жана калыбына келтирүү планын даярдай алабыз. defiзарыл болгон чараларды көрөбүз. Кызмат Италиядан 24/XNUMX берилет
CyberDrive бардык файлдарды өз алдынча шифрлөөнүн аркасында жогорку коопсуздук стандарттарына ээ булут файл менеджери. Булутта иштөө жана башка колдонуучулар менен документтерди бөлүшүү жана түзөтүү учурунда корпоративдик маалыматтардын коопсуздугун камсыз кылыңыз. Эгер байланыш жоголсо, колдонуучунун компьютеринде эч кандай маалымат сакталбайт. CyberDrive файлдардын кокустан бузулуп калышынан же уурулук үчүн эксфильтрацияланышынан сактайт, физикалык же санариптик болобу.
Эсептөө күчүн жана физикалык жана логикалык зыяндан коргоону сунуш кылган эң кичинекей жана эң күчтүү маалымат борбору. Кеңири жана робот чөйрөлөрүндө, чекене соода чөйрөлөрүндө, кесипкөй кеңселерде, алыскы кеңселерде жана мейкиндик, чыгым жана энергия керектөө маанилүү болгон чакан ишканаларда маалыматтарды башкаруу үчүн иштелип чыккан. Бул маалымат борборлорун жана стойкалуу шкафтарды талап кылбайт. Бул иш мейкиндиктери менен гармонияда таасир эстетика урматында ар кандай чөйрөдө жайгаштырылышы мүмкүн. «The Cube» чакан жана орто бизнестин кызматына ишкананын программалык технологиясын коёт.
Коопсуздук маселелерин иликтөө, аялуу жерлерин чечүү, маалыматтык системаңызды коргоо үчүн ар дайым сектордогу адистерге таяныңыз:
Ercole Palmeri: Инновацияга көз каранды
Google DeepMind өзүнүн жасалма интеллект моделинин жакшыртылган версиясын сунуштоодо. Жаңы өркүндөтүлгөн модель бир гана…
Өзүнүн жарашыктуу синтаксиси жана күчтүү өзгөчөлүктөрү менен белгилүү болгон Laravel модулдук архитектура үчүн бекем негизди түзөт. Ал жерде…
Cisco жана Splunk кардарларга келечектеги Коопсуздук Операциялар Борборуна (SOC) сапарын тездетүүгө жардам берүүдө…
Ransomware акыркы эки жылдан бери жаңылыктарда үстөмдүк кылып келет. Көпчүлүк адамдар кол салууларды жакшы билишет ...
Apple Vision Pro коммерциялык көрүүчүсү аркылуу офтальмопластика операциясы Катания поликлиникасында жасалды…
Боёо аркылуу майда моторикасын өнүктүрүү балдарды жазуу сыяктуу татаал көндүмдөрдү даярдайт. Түс үчүн…
Аскер-деңиз сектору 150 миллиарддык рынокту көздөй багыт алган чыныгы дүйнөлүк экономикалык держава...
Өткөн дүйшөмбүдө Financial Times OpenAI менен келишим түзгөнүн жарыялады. FT өзүнүн дүйнөлүк деңгээлдеги журналистикасына лицензия берет…