Comunicati Stampa

Cyber ​​​​napad: što je, kako funkcionira, cilj i kako ga spriječiti: XSS greške koje mogu uzrokovati potpuno gašenje sustava

Danas vidimo neke ranjivosti Cross Site Scripting (XSS) pronađene u nekim aplikacijama otvorenog koda, a koje mogu uzrokovati daljinsko izvršavanje koda.

Stručnjaci za kibernetičku sigurnost distribuirali su informacije o tri ranjivosti cross-site scripting (XSS) u popularnim open source aplikacijama koje mogu uzrokovati daljinsko izvršavanje koda (RCE).

Primitivni XSS napad omogućuje izvršavanje JavaScript koda aktera prijetnje u web pregledniku korisnika žrtve, što otvara vrata krađi kolačića, preusmjerava na web mjesto za krađu identiteta i još mnogo toga.

Pogledajmo sada neke pronađene ranjivosti

Cross-Site Scripting (XSS) jedan je od najraširenijih napada u web-aplikacijama. Ako akter prijetnje implementira javascript kod u izlaz aplikacije, ne samo da krade kolačiće, već ponekad dovodi i do potpunog ugrožavanja sustava.

Evolution CMS V3.1.8

Prvi bug, Evolution CMS V3.1.8, omogućuje hakeru da pokrene reflektirani XSS napad na različitim lokacijama u odjeljku za administraciju. Aleksey Solovev navodi da će u slučaju uspješnog napada na ovlaštenog administratora u sustavu, datoteka index.php biti prebrisana kodom koji je napadač postavio u payload.

FUD Forum v3.1.1

Druga ranjivost, otkrivena u FUDForum v3.1.1, mogla bi omogućiti hakeru da pokrene pohranjeni XSS napad. Aleksey Solovev kaže da je FUDforum super brz i skalabilan forum za rasprave. Vrlo je prilagodljiv i podržava neograničen broj članova, foruma, postova, tema, anketa i privitaka.

FUDforum administracijska ploča ima upravitelj datoteka koji vam omogućuje učitavanje datoteka na poslužitelj, uključujući datoteke s PHP ekstenzijom. Napadač bi mogao upotrijebiti arhivirani XSS za učitavanje PHP datoteke koja može izvršiti bilo koju naredbu na poslužitelju.

Bitbucket v4.37.1

U najnovijoj ranjivosti, Bitbucket v4.37.1, pronađena je sigurnosna greška koja bi mogla omogućiti napadaču da pokrene XSS napad pohranjen na različitim lokacijama. Aleksey Solovev navodi da arhivirani XSS napad može pokušati iskoristiti za izvršavanje koda na poslužitelju. Administratorska ploča ima alate za pokretanje SQL upita.

GitBucket prema zadanim postavkama koristi Database Engine H2definita. Za ovu bazu podataka postoji javno dostupna eksploatacija za postizanje daljinskog izvršavanja koda. Dakle, sve što napadač treba napraviti je stvoriti PoC kod na temelju ovog exploita, učitati ga u spremište i koristiti ga tijekom napada:

Kako spriječiti prisutnost ranjivosti

Uvijek ažurirajte Open Source platformu, odmah instalirajte sve korektivne zakrpe.

Zatražite savjet, procjenu, procjenu kako osigurati svoj sustav.

Innovation newsletter
Ne propustite najvažnije vijesti o inovacijama. Prijavite se da ih primate e-poštom.
SIGURNOSNA PROCJENA

To je temeljni proces za mjerenje trenutne razine sigurnosti vaše tvrtke.

Za to je potrebno uključiti adekvatno pripremljen Cyber ​​​​Team, sposoban izvršiti analizu stanja u kojem se tvrtka nalazi s obzirom na IT sigurnost.

Analiza se može provesti sinkrono, kroz intervju koji provodi Cyber ​​​​Tim ili

također asinkrono, ispunjavanjem upitnika online.

Možemo vam pomoći, obratite se stručnjacima ilwebcreativo.it piše na info@ilwebcreativo.it ili izravno razgovarajući na WhatsApp-u pomoću ikone u donjem desnom kutu.

SIGURNOSNI WEB MONITORING: analiza DARK WEB-a

Dark web odnosi se na sadržaje World Wide Weba u darknetima do kojih se može doći putem interneta putem specifičnog softvera, konfiguracija i pristupa.
S našim sigurnosnim web nadzorom u mogućnosti smo spriječiti i obuzdati cyber napade, počevši od analize domene tvrtke (npr.: ilwebcreativo.it ) i pojedinačne adrese e-pošte.

Kontaktirajte nas putem vhatsappa, možemo pripremiti plan sanacije kako bismo izolirali prijetnju, spriječili njeno širenje i defipoduzimamo potrebne sanacijske radnje. Usluga se pruža 24/XNUMX iz Italije

CYBERDRIVE: sigurna aplikacija za dijeljenje i uređivanje datoteka

CyberDrive je upravitelj datoteka u oblaku s visokim sigurnosnim standardima zahvaljujući neovisnoj enkripciji svih datoteka. Osigurajte sigurnost korporativnih podataka tijekom rada u oblaku te dijeljenja i uređivanja dokumenata s drugim korisnicima. Ako se veza izgubi, podaci se ne pohranjuju na korisničkom računalu. CyberDrive sprječava gubitak datoteka zbog slučajnog oštećenja ili eksfiltraciju radi krađe, bilo fizičke ili digitalne.

«THE CUBE»: revolucionarno rješenje

Najmanji i najsnažniji in-a-box podatkovni centar koji nudi računalnu snagu i zaštitu od fizičkih i logičkih oštećenja. Dizajniran za upravljanje podacima u rubnim i robo okruženjima, maloprodajnim okruženjima, profesionalnim uredima, udaljenim uredima i malim poduzećima gdje su prostor, troškovi i potrošnja energije ključni. Ne zahtijeva podatkovne centre i stalke. Može se postaviti u bilo koju vrstu okruženja zahvaljujući dojmljivoj estetici u skladu s radnim prostorima. «The Cube» stavlja tehnologiju poslovnog softvera u službu malih i srednjih poduzeća.

Tko rješava:

Da biste istražili sigurnosne probleme, riješili ranjivosti, osigurali svoj informacijski sustav, uvijek se oslonite na stručnjake u sektoru:

  • Pozivi HRC srl + 39 011 8190569
  • ili pošaljite e-poštu na Rocco D'Agostino rda@rhrcsrl.it
  • ili pošaljite e-mail na Ercole Palmeri ercolep@ilwebcreativo. To

Proteklih tjedana bavili smo se sljedećim temama vezanim uz Cyber ​​​​sigurnost:

  1. Glavni u srednjem napadu
  2. malware
  3. Phishing i Spear phishing
  4. Napad s presretanjem
  5. Proći pokraj
  6. Skriptiranje na više web stranica (XSS)
  7. Napad SQL injekcijom
  8. Primjer širenja zlonamjernog softvera
  9. Google Drive & Dropbox: meta APT29, ruski hakerski kolektiv
  10. Napad na lozinke
  11. Trendovi kibernetičkih napada: Izvješće o prvom polugodištu 2022. – softver Check Point

Ercole Palmeri: Ovisnik o inovacijama

â € <  

Innovation newsletter
Ne propustite najvažnije vijesti o inovacijama. Prijavite se da ih primate e-poštom.

Nedavni članci

Tržište Smart Lock: objavljeno izvješće o istraživanju tržišta

Pojam Smart Lock tržište odnosi se na industriju i ekosustav koji okružuje proizvodnju, distribuciju i korištenje…

27 ožujka 2024

Što su uzorci dizajna: zašto ih koristiti, klasifikacija, prednosti i mane

U softverskom inženjerstvu, obrasci dizajna su optimalna rješenja za probleme koji se obično pojavljuju u dizajnu softvera. Ja sam kao…

26 ožujka 2024

Tehnološki razvoj industrijskog označavanja

Industrijsko označavanje je širok pojam koji obuhvaća nekoliko tehnika koje se koriste za stvaranje trajnih oznaka na površini…

25 ožujka 2024

Primjeri Excel makronaredbi napisanih pomoću VBA

Sljedeći jednostavni primjeri Excel makronaredbi napisani su pomoću VBA Procijenjeno vrijeme čitanja: 3 minute Primjer…

25 ožujka 2024