Stručnjaci za kibernetičku sigurnost distribuirali su informacije o tri ranjivosti cross-site scripting (XSS) u popularnim open source aplikacijama koje mogu uzrokovati daljinsko izvršavanje koda (RCE).
Primitivni XSS napad omogućuje izvršavanje JavaScript koda aktera prijetnje u web pregledniku korisnika žrtve, što otvara vrata krađi kolačića, preusmjerava na web mjesto za krađu identiteta i još mnogo toga.
Cross-Site Scripting (XSS) jedan je od najraširenijih napada u web-aplikacijama. Ako akter prijetnje implementira javascript kod u izlaz aplikacije, ne samo da krade kolačiće, već ponekad dovodi i do potpunog ugrožavanja sustava.
Prvi bug, Evolution CMS V3.1.8, omogućuje hakeru da pokrene reflektirani XSS napad na različitim lokacijama u odjeljku za administraciju. Aleksey Solovev navodi da će u slučaju uspješnog napada na ovlaštenog administratora u sustavu, datoteka index.php biti prebrisana kodom koji je napadač postavio u payload.
Druga ranjivost, otkrivena u FUDForum v3.1.1, mogla bi omogućiti hakeru da pokrene pohranjeni XSS napad. Aleksey Solovev kaže da je FUDforum super brz i skalabilan forum za rasprave. Vrlo je prilagodljiv i podržava neograničen broj članova, foruma, postova, tema, anketa i privitaka.
FUDforum administracijska ploča ima upravitelj datoteka koji vam omogućuje učitavanje datoteka na poslužitelj, uključujući datoteke s PHP ekstenzijom. Napadač bi mogao upotrijebiti arhivirani XSS za učitavanje PHP datoteke koja može izvršiti bilo koju naredbu na poslužitelju.
U najnovijoj ranjivosti, Bitbucket v4.37.1, pronađena je sigurnosna greška koja bi mogla omogućiti napadaču da pokrene XSS napad pohranjen na različitim lokacijama. Aleksey Solovev navodi da arhivirani XSS napad može pokušati iskoristiti za izvršavanje koda na poslužitelju. Administratorska ploča ima alate za pokretanje SQL upita.
GitBucket prema zadanim postavkama koristi Database Engine H2definita. Za ovu bazu podataka postoji javno dostupna eksploatacija za postizanje daljinskog izvršavanja koda. Dakle, sve što napadač treba napraviti je stvoriti PoC kod na temelju ovog exploita, učitati ga u spremište i koristiti ga tijekom napada:
Uvijek ažurirajte Open Source platformu, odmah instalirajte sve korektivne zakrpe.
Zatražite savjet, procjenu, procjenu kako osigurati svoj sustav.
To je temeljni proces za mjerenje trenutne razine sigurnosti vaše tvrtke.
Za to je potrebno uključiti adekvatno pripremljen Cyber Team, sposoban izvršiti analizu stanja u kojem se tvrtka nalazi s obzirom na IT sigurnost.
Analiza se može provesti sinkrono, kroz intervju koji provodi Cyber Tim ili
također asinkrono, ispunjavanjem upitnika online.
Možemo vam pomoći, obratite se stručnjacima ilwebcreativo.it piše na info@ilwebcreativo.it ili izravno razgovarajući na WhatsApp-u pomoću ikone u donjem desnom kutu.
Dark web odnosi se na sadržaje World Wide Weba u darknetima do kojih se može doći putem interneta putem specifičnog softvera, konfiguracija i pristupa.
S našim sigurnosnim web nadzorom u mogućnosti smo spriječiti i obuzdati cyber napade, počevši od analize domene tvrtke (npr.: ilwebcreativo.it ) i pojedinačne adrese e-pošte.
Kontaktirajte nas putem vhatsappa, možemo pripremiti plan sanacije kako bismo izolirali prijetnju, spriječili njeno širenje i defipoduzimamo potrebne sanacijske radnje. Usluga se pruža 24/XNUMX iz Italije
CyberDrive je upravitelj datoteka u oblaku s visokim sigurnosnim standardima zahvaljujući neovisnoj enkripciji svih datoteka. Osigurajte sigurnost korporativnih podataka tijekom rada u oblaku te dijeljenja i uređivanja dokumenata s drugim korisnicima. Ako se veza izgubi, podaci se ne pohranjuju na korisničkom računalu. CyberDrive sprječava gubitak datoteka zbog slučajnog oštećenja ili eksfiltraciju radi krađe, bilo fizičke ili digitalne.
Najmanji i najsnažniji in-a-box podatkovni centar koji nudi računalnu snagu i zaštitu od fizičkih i logičkih oštećenja. Dizajniran za upravljanje podacima u rubnim i robo okruženjima, maloprodajnim okruženjima, profesionalnim uredima, udaljenim uredima i malim poduzećima gdje su prostor, troškovi i potrošnja energije ključni. Ne zahtijeva podatkovne centre i stalke. Može se postaviti u bilo koju vrstu okruženja zahvaljujući dojmljivoj estetici u skladu s radnim prostorima. «The Cube» stavlja tehnologiju poslovnog softvera u službu malih i srednjih poduzeća.
Da biste istražili sigurnosne probleme, riješili ranjivosti, osigurali svoj informacijski sustav, uvijek se oslonite na stručnjake u sektoru:
Ercole Palmeri: Ovisnik o inovacijama
â € <
Pojam Smart Lock tržište odnosi se na industriju i ekosustav koji okružuje proizvodnju, distribuciju i korištenje…
U softverskom inženjerstvu, obrasci dizajna su optimalna rješenja za probleme koji se obično pojavljuju u dizajnu softvera. Ja sam kao…
Industrijsko označavanje je širok pojam koji obuhvaća nekoliko tehnika koje se koriste za stvaranje trajnih oznaka na površini…
Sljedeći jednostavni primjeri Excel makronaredbi napisani su pomoću VBA Procijenjeno vrijeme čitanja: 3 minute Primjer…