Wataalamu wa usalama wa mtandao wamesambaza maelezo kuhusu athari tatu za uandishi wa tovuti tofauti (XSS) katika programu huria maarufu ambazo zinaweza kusababisha utekelezaji wa msimbo wa mbali (RCE).
Shambulio la awali la XSS huruhusu msimbo wa JavaScript wa mwigizaji tishio kutekelezwa katika kivinjari cha mtumiaji mhasiriwa, ambacho hufungua mlango wa wizi wa vidakuzi, kuelekeza upya kwa tovuti ya hadaa, na mengi zaidi.
Cross-Site Scripting (XSS) ni mojawapo ya mashambulizi yaliyoenea zaidi katika programu za wavuti. Ikiwa mwigizaji tishio atatumia msimbo wa javascript katika matokeo ya programu, haiba tu vidakuzi, lakini pia wakati mwingine husababisha maelewano kamili ya mifumo.
Mdudu wa kwanza, Evolution CMS V3.1.8, huruhusu mdukuzi kuzindua shambulio la XSS lililoakisiwa katika maeneo mbalimbali katika sehemu ya usimamizi. Aleksey Solovev anasema kuwa katika tukio la shambulio la mafanikio kwa msimamizi aliyeidhinishwa katika mfumo, faili ya index.php itafutwa na msimbo ambao mshambuliaji aliweka kwenye mzigo wa malipo.
Athari ya pili, iliyogunduliwa katika FUDForum v3.1.1, inaweza kuruhusu mdukuzi kuzindua shambulio lililohifadhiwa la XSS. Aleksey Solovev anasema kuwa FUDforum ni jukwaa la majadiliano la haraka sana na lenye hatari. Inaweza kubinafsishwa sana na inasaidia wanachama, mabaraza, machapisho, mada, kura na viambatisho visivyo na kikomo.
Jopo la utawala la FUDforum lina kidhibiti faili ambacho hukuruhusu kupakia faili kwenye seva, ikijumuisha faili zilizo na kiendelezi cha PHP. Mshambulizi anaweza kutumia XSS iliyohifadhiwa kwenye kumbukumbu kupakia faili ya PHP ambayo inaweza kutekeleza amri yoyote kwenye seva.
Katika mazingira magumu ya hivi punde, Bitbucket v4.37.1, hitilafu ya usalama ilipatikana ambayo inaweza kuruhusu mshambuliaji kuzindua shambulio la XSS lililohifadhiwa katika maeneo mbalimbali. Aleksey Solovev anasema kuwa kuwa na shambulio la XSS lililowekwa kwenye kumbukumbu kunaweza kujaribu kulitumia kutekeleza msimbo kwenye seva. Paneli ya msimamizi ina zana za kuendesha hoja za SQL.
GitBucket hutumia Injini ya Hifadhidata ya H2 kwa chaguo-msingidefinita. Kwa hifadhidata hii, kuna matumizi yanayopatikana kwa umma ili kufikia utekelezaji wa msimbo wa mbali. Kwa hivyo, anachohitaji kufanya mshambuliaji ni kuunda msimbo wa PoC kulingana na unyonyaji huu, upakie kwenye hazina, na uitumie wakati wa shambulio:
Sasisha kila wakati jukwaa la Open Source, sakinisha mara moja viraka vyovyote vya kurekebisha.
Uliza ushauri, tathmini, makadirio ya jinsi ya kulinda mfumo wako.
Ni mchakato wa kimsingi wa kupima kiwango cha usalama cha kampuni yako.
Ili kufanya hivyo ni muhimu kuhusisha Timu ya Cyber iliyoandaliwa vya kutosha, inayoweza kufanya uchambuzi wa hali ambayo kampuni inajikuta kwa heshima na usalama wa IT.
Uchambuzi unaweza kufanywa kwa usawa, kupitia mahojiano na Timu ya Cyber au
pia isiyo ya kawaida, kwa kujaza dodoso mtandaoni.
Tunaweza kukusaidia, wasiliana na wataalamu wa ilwebcreativo.inaandika kwa info@ilwebcreativo.it au kwa kupiga gumzo kwenye whatsapp moja kwa moja kwa kutumia ikoni iliyo chini kulia.
Wavuti yenye giza inarejelea yaliyomo kwenye Wavuti ya Ulimwenguni Pote katika neti za giza ambazo zinaweza kufikiwa kupitia Mtandao kupitia programu maalum, usanidi na ufikiaji.
Kwa Ufuatiliaji wetu wa Usalama wa Wavuti tunaweza kuzuia na kudhibiti mashambulizi ya mtandaoni, kuanzia uchanganuzi wa kikoa cha kampuni (k.m.: ilwebcreativo.it ) na anwani za barua pepe za kibinafsi.
Wasiliana nasi kupitia vhatsapp, tunaweza kuandaa mpango wa kurekebisha ili kutenganisha tishio, kuzuia kuenea kwake na defitunachukua hatua muhimu za kurekebisha. Huduma hutolewa 24/XNUMX kutoka Italia
CyberDrive ni kidhibiti faili cha wingu kilicho na viwango vya juu vya usalama kutokana na usimbaji fiche huru wa faili zote. Hakikisha usalama wa data ya shirika unapofanya kazi kwenye wingu na kushiriki na kuhariri hati na watumiaji wengine. Ikiwa muunganisho umepotea, hakuna data iliyohifadhiwa kwenye Kompyuta ya mtumiaji. CyberDrive huzuia faili kupotea kutokana na uharibifu wa bahati mbaya au kuchujwa kwa ajili ya wizi, iwe wa kimwili au wa dijitali.
Kituo kidogo na chenye nguvu zaidi cha kuhifadhi data ndani ya kisanduku kinachotoa nguvu za kompyuta na ulinzi dhidi ya uharibifu wa kimwili na kimantiki. Iliyoundwa kwa ajili ya usimamizi wa data katika mazingira ya makali na robo, mazingira ya rejareja, ofisi za kitaaluma, ofisi za mbali na biashara ndogo ndogo ambapo nafasi, gharama na matumizi ya nishati ni muhimu. Haihitaji vituo vya data na makabati ya rack. Inaweza kuwekwa katika aina yoyote ya shukrani ya mazingira kwa aesthetics ya athari kulingana na nafasi za kazi. «The Cube» inaweka teknolojia ya programu ya biashara katika huduma ya biashara ndogo na za kati.
Ili kuchunguza masuala ya usalama, kutatua udhaifu, kulinda mfumo wako wa taarifa, tegemea wataalamu katika sekta hii kila wakati:
Ercole Palmeri: Ubunifu uraibu
â € <
Google DeepMind inaleta toleo lililoboreshwa la muundo wake wa kijasusi bandia. Muundo mpya ulioboreshwa hutoa sio tu…
Laravel, maarufu kwa sintaksia yake ya kifahari na sifa zenye nguvu, pia hutoa msingi thabiti wa usanifu wa kawaida. Hapo...
Cisco na Splunk wanasaidia wateja kuharakisha safari yao hadi Kituo cha Uendeshaji Usalama (SOC) cha siku zijazo kwa…
Ransomware imetawala habari kwa miaka miwili iliyopita. Watu wengi wanajua kuwa mashambulizi…
Operesheni ya ophthalmoplasty kwa kutumia kitazamaji cha kibiashara cha Apple Vision Pro ilifanywa katika Catania Polyclinic…
Kukuza ujuzi mzuri wa magari kupitia kupaka rangi huwatayarisha watoto kwa ujuzi changamano zaidi kama vile kuandika. Kupaka rangi...
Sekta ya majini ni nguvu ya kweli ya kiuchumi duniani, ambayo imepitia kwenye soko la bilioni 150 ...
Jumatatu iliyopita, Financial Times ilitangaza makubaliano na OpenAI. FT inatoa leseni kwa uandishi wake wa habari wa kiwango cha kimataifa…