Kibernetinio saugumo ekspertai išplatino informaciją apie tris skirtingų svetainių scenarijų (XSS) spragas populiariose atvirojo kodo programose, kurios gali sukelti nuotolinį kodo vykdymą (RCE).
Primityvi XSS ataka leidžia paleisti grėsmės veikėjo JavaScript kodą nukentėjusio vartotojo interneto naršyklėje, o tai atveria duris slapukų vagystei, nukreipia į sukčiavimo svetainę ir dar daugiau.
Cross-Site Scripting (XSS) yra viena iš labiausiai paplitusių atakų žiniatinklio programose. Jei grėsmės veikėjas programos išvestyje įdiegia JavaScript kodą, jis ne tik pavagia slapukus, bet ir kartais visiškai pažeidžia sistemas.
Pirmoji klaida „Evolution CMS V3.1.8“ leidžia įsilaužėliui paleisti atspindėtą XSS ataką įvairiose administravimo skilties vietose. Aleksejus Solovevas teigia, kad sėkmingos atakos prieš įgaliotą administratorių sistemoje atveju index.php failas bus perrašytas kodu, kurį užpuolikas įdėjo į naudingą krovinį.
Antrasis pažeidžiamumas, aptiktas FUDForum v3.1.1, gali leisti įsilaužėliui pradėti saugomą XSS ataką. Aleksejus Solovevas sako, kad FUDforum yra itin greitas ir keičiamas diskusijų forumas. Jis yra labai pritaikomas ir palaiko neribotą skaičių narių, forumų, pranešimų, temų, apklausų ir priedų.
FUDforum administravimo skydelyje yra failų tvarkyklė, leidžianti į serverį įkelti failus, įskaitant failus su PHP plėtiniu. Užpuolikas gali naudoti archyvuotą XSS, kad įkeltų PHP failą, kuris gali vykdyti bet kurią komandą serveryje.
Naujausioje pažeidžiamoje vietoje, Bitbucket v4.37.1, buvo rasta saugos klaida, kuri gali leisti užpuolikui pradėti XSS ataką, saugomą įvairiose vietose. Aleksejus Solovevas teigia, kad suarchyvuota XSS ataka gali bandyti ją išnaudoti ir vykdyti kodą serveryje. Administratoriaus skydelyje yra įrankiai SQL užklausoms vykdyti.
Pagal numatytuosius nustatymus „GitBucket“ naudoja H2 duomenų bazės variklįdefinita. Šioje duomenų bazėje yra viešai prieinamas išnaudojimas nuotoliniam kodo vykdymui. Taigi, užpuolikui tereikia sukurti PoC kodą pagal šį išnaudojimą, įkelti jį į saugyklą ir naudoti atakos metu:
Visada atnaujinkite atvirojo kodo platformą, nedelsdami įdiekite korekcinius pataisymus.
Klauskite patarimo, įvertinimo, sąmatos, kaip apsaugoti savo sistemą.
Tai pagrindinis jūsų įmonės dabartinio saugumo lygio matavimo procesas.
Tam būtina įtraukti tinkamai paruoštą Kibernetinę komandą, galinčią atlikti įmonės padėties IT saugumo atžvilgiu analizę.
Analizė gali būti atliekama sinchroniškai, interviu, kurį atlieka „Cyber Team“ arba
taip pat asinchroniškai, užpildant anketą internetu.
Galime Jums padėti, susisiekite su specialistais ilwebcreativo.tai rašyti info@ilwebcreativo.it arba kalbėdami „WhatsApp“ tiesiogiai naudodami piktogramą apačioje dešinėje.
Tamsusis žiniatinklis reiškia pasaulinio žiniatinklio turinį tamsiuosiuose tinkluose, kuriuos galima pasiekti internetu naudojant specialią programinę įrangą, konfigūracijas ir prieigas.
Naudodami saugumo žiniatinklio stebėjimą galime užkirsti kelią kibernetinėms atakoms ir jas sustabdyti, pradedant įmonės domeno analize (pvz.: ilwebcreativo.it ) ir individualius el. pašto adresus.
Susisiekite su mumis per vhatsapp, mes galime parengti ištaisymo planą, kaip atskirti grėsmę, užkirsti kelią jos plitimui ir defiimamės būtinų ištaisymo veiksmų. Paslauga teikiama 24/XNUMX iš Italijos
CyberDrive yra debesies failų tvarkyklė, turinti aukštus saugumo standartus dėl nepriklausomo visų failų šifravimo. Užtikrinkite įmonės duomenų saugumą dirbdami debesyje ir dalindamiesi bei redaguodami dokumentus su kitais vartotojais. Jei ryšys nutrūksta, jokie duomenys nėra saugomi vartotojo kompiuteryje. „CyberDrive“ apsaugo nuo failų praradimo dėl atsitiktinio sugadinimo arba išfiltravimo dėl vagystės, nesvarbu, ar tai būtų fizinė ar skaitmeninė.
Mažiausias ir galingiausias dėžutėje esantis duomenų centras, siūlantis skaičiavimo galią ir apsaugą nuo fizinės ir loginės žalos. Sukurta duomenų valdymui krašto ir robo aplinkoje, mažmeninės prekybos aplinkoje, profesionaliuose biuruose, nuotoliniuose biuruose ir mažose įmonėse, kur erdvė, sąnaudos ir energijos suvartojimas yra būtini. Tam nereikia duomenų centrų ir stelažų spintelių. Dėl efektingos estetikos, derančios su darbo erdvėmis, jį galima pastatyti bet kokio tipo aplinkoje. „The Cube“ teikia įmonės programinės įrangos technologijas mažoms ir vidutinėms įmonėms.
Tirdami saugumo problemas, spręsdami spragas, apsaugoti savo informacinę sistemą, visada pasikliaukite sektoriaus specialistais:
Ercole Palmeri: Priklauso nuo naujovių
JK CMA paskelbė įspėjimą dėl Big Tech elgesio dirbtinio intelekto rinkoje. Ten…
„Žaliųjų namų“ dekretas, kurį Europos Sąjunga suformulavo siekiant padidinti pastatų energijos vartojimo efektyvumą, baigė teisėkūros procesą su…
Pristatyta Casaleggio Associati metinė elektroninės prekybos Italijoje ataskaita. Pranešimas pavadinimu „AI-komercija: el. prekybos su dirbtiniu intelektu ribos“…
Nuolatinių technologinių naujovių ir įsipareigojimo aplinkai bei žmonių gerovei rezultatas. Bandalux pristato palapinę Airpure®…