Mae arbenigwyr Cybersecurity wedi dosbarthu gwybodaeth am dri gwendid sgriptio traws-safle (XSS) mewn cymwysiadau ffynhonnell agored poblogaidd a all achosi gweithredu cod o bell (RCE).
Mae ymosodiad XSS cyntefig yn caniatáu i god JavaScript yr actor bygythiad gael ei weithredu ym mhorwr gwe'r defnyddiwr dioddefwr, sy'n agor y drws i ddwyn cwci, yn ailgyfeirio i safle gwe-rwydo, a llawer mwy.
Sgriptio Traws-Safle (XSS) yw un o'r ymosodiadau mwyaf eang mewn apps gwe.Os yw actor bygythiad yn gweithredu cod javascript yn allbwn yr app, nid yn unig mae'n dwyn cwcis, ond hefyd weithiau'n arwain at gyfaddawd llwyr o'r systemau.
Mae'r byg cyntaf, Evolution CMS V3.1.8, yn caniatáu i haciwr lansio ymosodiad XSS adlewyrchiedig mewn gwahanol leoliadau yn yr adran weinyddol. Mae Aleksey Solovev yn nodi, os bydd ymosodiad llwyddiannus ar weinyddwr awdurdodedig yn y system, bydd y ffeil index.php yn cael ei throsysgrifo gyda'r cod a osododd yr ymosodwr yn y llwyth tâl.
Gallai'r ail fregusrwydd, a ddarganfuwyd yn FUForum v3.1.1, ganiatáu i haciwr lansio ymosodiad XSS wedi'i storio. Dywed Aleksey Solovev fod FUDforum yn fforwm trafod hynod gyflym a graddadwy. Mae'n hynod addasadwy ac mae'n cefnogi aelodau diderfyn, fforymau, postiadau, pynciau, arolygon barn ac atodiadau.
Mae gan banel gweinyddu FUDforum reolwr ffeiliau sy'n eich galluogi i uwchlwytho ffeiliau i'r gweinydd, gan gynnwys ffeiliau gyda'r estyniad PHP. Gallai ymosodwr ddefnyddio XSS wedi'i archifo i uwchlwytho ffeil PHP a all weithredu unrhyw orchymyn ar y gweinydd.
Yn y bregusrwydd diweddaraf, Bitbucket v4.37.1, canfuwyd bug diogelwch a allai ganiatáu i ymosodwr lansio ymosodiad XSS wedi'i storio mewn gwahanol leoliadau. Dywed Aleksey Solovev y gall cael ymosodiad XSS wedi'i archifo geisio ei ecsbloetio i weithredu cod ar y gweinydd. Mae gan y panel gweinyddol offer i redeg ymholiadau SQL.
Mae GitBucket yn defnyddio H2 Database Engine yn ddiofyndefinita. Ar gyfer y gronfa ddata hon, mae camfanteisio ar gael i'r cyhoedd i gyflawni gweithredu cod o bell. Felly, y cyfan sydd angen i ymosodwr ei wneud yw creu cod PoC yn seiliedig ar y cam hwn, ei uwchlwytho i'r ystorfa, a'i ddefnyddio yn ystod ymosodiad:
Diweddarwch y platfform Ffynhonnell Agored bob amser, gosodwch unrhyw glytiau cywiro ar unwaith.
Gofynnwch am gyngor, gwerthusiad, amcangyfrif ar sut i ddiogelu eich system.
Dyma'r broses sylfaenol ar gyfer mesur lefel gyfredol diogelwch eich cwmni.
I wneud hyn mae angen cynnwys Tîm Seiber sydd wedi'i baratoi'n ddigonol, sy'n gallu cynnal dadansoddiad o gyflwr diogelwch TG y cwmni.
Gellir cynnal y dadansoddiad yn gydamserol, trwy gyfweliad a gynhelir gan y Tîm Seiber neu
hefyd yn asyncronaidd, trwy lenwi holiadur ar-lein.
Gallwn eich helpu, cysylltwch ag arbenigwyr o ilwebcreativo.it ysgrifennu at info@ilwebcreativo.it neu drwy sgwrsio ar whatsapp yn uniongyrchol gan ddefnyddio'r eicon ar y dde ar y gwaelod.
Mae'r we dywyll yn cyfeirio at gynnwys y We Fyd Eang mewn rhwydi tywyll y gellir eu cyrraedd trwy'r Rhyngrwyd trwy feddalwedd, ffurfweddiadau a mynediadau penodol.
Gyda'n Monitro Gwe Ddiogelwch rydym yn gallu atal a chynnwys ymosodiadau seiber, gan ddechrau o ddadansoddi parth y cwmni (e.e.: ilwebcreativo.it ) a chyfeiriadau e-bost unigol.
Cysylltwch â ni trwy vhatsapp, gallwn baratoi cynllun adfer i ynysu'r bygythiad, atal ei ledaeniad a defirydym yn cymryd y camau adfer angenrheidiol. Darperir y gwasanaeth 24/XNUMX o'r Eidal
Mae CyberDrive yn rheolwr ffeiliau cwmwl gyda safonau diogelwch uchel diolch i amgryptio annibynnol pob ffeil. Sicrhau diogelwch data corfforaethol wrth weithio yn y cwmwl a rhannu a golygu dogfennau gyda defnyddwyr eraill. Os collir y cysylltiad, ni chaiff unrhyw ddata ei storio ar gyfrifiadur personol y defnyddiwr. Mae CyberDrive yn atal ffeiliau rhag cael eu colli oherwydd difrod damweiniol neu gael eu halltudio ar gyfer lladrad, boed yn gorfforol neu'n ddigidol.
Y ganolfan ddata mewn-bocs lleiaf a mwyaf pwerus sy'n cynnig pŵer cyfrifiadurol ac amddiffyniad rhag difrod corfforol a rhesymegol. Wedi'i gynllunio ar gyfer rheoli data mewn amgylcheddau ymylol a robo, amgylcheddau manwerthu, swyddfeydd proffesiynol, swyddfeydd anghysbell a busnesau bach lle mae gofod, cost a defnydd o ynni yn hanfodol. Nid oes angen canolfannau data a chypyrddau rac arno. Gellir ei osod mewn unrhyw fath o amgylchedd diolch i'r estheteg effaith mewn cytgord â'r mannau gwaith. Mae "The Cube" yn rhoi technoleg meddalwedd menter yng ngwasanaeth busnesau bach a chanolig.
I ymchwilio i faterion diogelwch, i ddatrys gwendidau, i ddiogelu eich system wybodaeth, dylech bob amser ddibynnu ar arbenigwyr yn y sector:
Ercole Palmeri: Arloesedd yn gaeth
Bydd Coveware gan Veeam yn parhau i ddarparu gwasanaethau ymateb i ddigwyddiadau cribddeiliaeth seiber. Bydd Coveware yn cynnig galluoedd fforensig ac adfer…
Mae gwaith cynnal a chadw rhagfynegol yn chwyldroi'r sector olew a nwy, gyda dull arloesol a rhagweithiol o reoli planhigion.…
Mae CMA y DU wedi cyhoeddi rhybudd am ymddygiad Big Tech yn y farchnad deallusrwydd artiffisial. Yno…
Mae'r Archddyfarniad "Achos Gwyrdd", a luniwyd gan yr Undeb Ewropeaidd i wella effeithlonrwydd ynni adeiladau, wedi dod â'i broses ddeddfwriaethol i ben gyda…