Các chuyên gia an ninh mạng đã phân phối thông tin về ba lỗ hổng cross-site scripting (XSS) trong các ứng dụng nguồn mở phổ biến có thể gây ra thực thi mã từ xa (RCE).
Một cuộc tấn công XSS ban đầu cho phép mã JavaScript của tác nhân đe dọa được thực thi trong trình duyệt web của người dùng nạn nhân, mở ra cánh cửa cho việc đánh cắp cookie, chuyển hướng đến một trang web lừa đảo và hơn thế nữa.
Cross-Site Scripting (XSS) là một trong những cuộc tấn công phổ biến nhất trong các ứng dụng web. Nếu kẻ đe dọa thực hiện mã javascript trong đầu ra của ứng dụng, nó không chỉ đánh cắp cookie mà đôi khi còn dẫn đến sự xâm nhập hoàn toàn của hệ thống.
Lỗi đầu tiên, Evolution CMS V3.1.8, cho phép tin tặc khởi động một cuộc tấn công XSS được phản ánh tại các vị trí khác nhau trong phần quản trị. Aleksey Solovev tuyên bố rằng trong trường hợp tấn công thành công một quản trị viên được ủy quyền trong hệ thống, tệp index.php sẽ bị ghi đè bằng mã mà kẻ tấn công đã đặt trong phần tải trọng.
Lỗ hổng thứ hai, được phát hiện trong FUDForum v3.1.1, có thể cho phép tin tặc khởi động một cuộc tấn công XSS được lưu trữ. Aleksey Solovev nói rằng FUDforum là một diễn đàn thảo luận siêu nhanh và có thể mở rộng. Nó có thể tùy chỉnh cao và hỗ trợ không giới hạn thành viên, diễn đàn, bài đăng, chủ đề, cuộc thăm dò và tệp đính kèm.
Bảng quản trị FUDforum có trình quản lý tệp cho phép bạn tải tệp lên máy chủ, bao gồm các tệp có phần mở rộng PHP. Kẻ tấn công có thể sử dụng XSS đã lưu trữ để tải lên tệp PHP có thể thực thi bất kỳ lệnh nào trên máy chủ.
Trong lỗ hổng bảo mật mới nhất, Bitbucket v4.37.1, một lỗi bảo mật đã được tìm thấy có thể cho phép kẻ tấn công thực hiện một cuộc tấn công XSS được lưu trữ ở nhiều vị trí khác nhau. Aleksey Solovev tuyên bố rằng có một cuộc tấn công XSS được lưu trữ có thể cố gắng khai thác nó để thực thi mã trên máy chủ. Bảng quản trị có các công cụ để chạy các truy vấn SQL.
GitBucket sử dụng Công cụ cơ sở dữ liệu H2 theo mặc địnhdefiNita. Đối với cơ sở dữ liệu này, có một cách khai thác công khai để thực thi mã từ xa. Vì vậy, tất cả những gì kẻ tấn công cần làm là tạo mã PoC dựa trên cách khai thác này, tải nó lên kho lưu trữ và sử dụng nó trong một cuộc tấn công:
Luôn cập nhật nền tảng Mã nguồn mở, cài đặt ngay lập tức bất kỳ bản vá sửa chữa nào.
Yêu cầu lời khuyên, đánh giá, ước tính về cách bảo mật hệ thống của bạn.
Đây là quy trình cơ bản để đo lường mức độ bảo mật hiện tại của công ty bạn.
Để làm được điều này, cần có sự tham gia của một Nhóm Không gian mạng được chuẩn bị đầy đủ, có thể thực hiện phân tích trạng thái mà công ty nhận thấy mình liên quan đến bảo mật CNTT.
Việc phân tích có thể được thực hiện đồng bộ, thông qua một cuộc phỏng vấn do Nhóm Không gian mạng thực hiện hoặc
cũng không đồng bộ, bằng cách điền vào bảng câu hỏi trực tuyến.
Chúng tôi có thể giúp bạn, hãy liên hệ với các chuyên gia của ilwebcreativo.it viết thư cho info@ilwebcreativo.it hoặc bằng cách trò chuyện trực tiếp trên whatsapp bằng biểu tượng ở dưới cùng bên phải.
Dark web đề cập đến nội dung của World Wide Web trong các mạng tối có thể được truy cập thông qua Internet thông qua phần mềm, cấu hình và quyền truy cập cụ thể.
Với Giám sát web bảo mật của chúng tôi, chúng tôi có thể ngăn chặn và ngăn chặn các cuộc tấn công mạng, bắt đầu từ việc phân tích miền công ty (ví dụ:: ilwebcreativo.it ) và các địa chỉ e-mail cá nhân.
Liên hệ với chúng tôi qua vhatsapp, chúng tôi có thể chuẩn bị một kế hoạch khắc phục để cô lập mối đe dọa, ngăn chặn sự lây lan của nó và defichúng tôi thực hiện các hành động khắc phục cần thiết. Dịch vụ được cung cấp 24/XNUMX từ Ý
CyberDrive là trình quản lý tệp đám mây với tiêu chuẩn bảo mật cao nhờ mã hóa độc lập của tất cả các tệp. Đảm bảo tính bảo mật của dữ liệu công ty khi làm việc trên đám mây và chia sẻ, chỉnh sửa tài liệu với những người dùng khác. Nếu kết nối bị mất, không có dữ liệu nào được lưu trữ trên PC của người dùng. CyberDrive ngăn không cho các tệp bị mất do vô tình làm hỏng hoặc bị lấy cắp để đánh cắp, dù là tệp vật lý hoặc kỹ thuật số.
Trung tâm dữ liệu trong hộp nhỏ nhất và mạnh mẽ nhất cung cấp khả năng tính toán và bảo vệ khỏi thiệt hại vật lý và logic. Được thiết kế để quản lý dữ liệu trong môi trường cạnh và môi trường rô bốt, môi trường bán lẻ, văn phòng chuyên nghiệp, văn phòng từ xa và doanh nghiệp nhỏ, nơi tiêu thụ không gian, chi phí và năng lượng là cần thiết. Nó không yêu cầu trung tâm dữ liệu và tủ rack. Nó có thể được định vị trong mọi loại môi trường nhờ tác động thẩm mỹ hài hòa với không gian làm việc. «Khối lập phương» đưa công nghệ phần mềm doanh nghiệp vào phục vụ các doanh nghiệp vừa và nhỏ.
Để điều tra các vấn đề bảo mật, giải quyết các lỗ hổng bảo mật, để bảo mật hệ thống thông tin của bạn, hãy luôn dựa vào các chuyên gia trong lĩnh vực:
Ercole Palmeri: Người nghiện đổi mới
â € <
Google DeepMind đang giới thiệu phiên bản cải tiến của mô hình trí tuệ nhân tạo. Mẫu cải tiến mới không chỉ cung cấp…
Laravel, nổi tiếng với cú pháp tinh tế và các tính năng mạnh mẽ, cũng cung cấp nền tảng vững chắc cho kiến trúc mô-đun. Ở đó…
Cisco và Splunk đang giúp khách hàng đẩy nhanh hành trình đến Trung tâm điều hành bảo mật (SOC) trong tương lai bằng…
Ransomware đã thống trị tin tức trong hai năm qua. Hầu hết mọi người đều nhận thức rõ rằng các cuộc tấn công…
Một ca phẫu thuật tạo hình mắt bằng cách sử dụng trình xem thương mại Apple Vision Pro đã được thực hiện tại Phòng khám đa khoa Catania…
Phát triển kỹ năng vận động tinh thông qua tô màu giúp trẻ chuẩn bị cho những kỹ năng phức tạp hơn như viết. Để tô màu…
Ngành hải quân là một cường quốc kinh tế toàn cầu thực sự, đang hướng tới thị trường 150 tỷ...
Thứ Hai tuần trước, Financial Times đã công bố một thỏa thuận với OpenAI. FT cấp phép cho hoạt động báo chí đẳng cấp thế giới…
