سایبر برید: دا څه دي، دا څنګه کار کوي، هدف او څنګه یې مخنیوی وشي: د XSS بګونه چې کولی شي د بشپړ سیسټم بندیدو لامل شي

نن ورځ موږ ګورو چې ځینې کراس سایټ سکریپټینګ (XSS) زیانونه په ځینې خلاص سرچینې غوښتنلیکونو کې موندل شوي ، او کوم چې کولی شي د لرې کوډ اجرا کولو لامل شي.

د سایبر امنیت متخصصینو په مشهور خلاص سرچینې غوښتنلیکونو کې د درې کراس سایټ سکریپټینګ (XSS) زیانونو په اړه معلومات توزیع کړي چې کولی شي د ریموټ کوډ اجرا کولو (RCE) لامل شي.

د XSS ابتدايي برید د ګواښ لوبغاړي جاواسکریپټ کوډ ته اجازه ورکوي چې د قرباني کارونکي ویب براوزر کې اجرا شي، کوم چې د کوکي غلا لپاره دروازه پرانیزي، د فشینګ سایټ ته لیږدول، او نور ډیر څه.

راځئ چې اوس موندل شوي ځینې زیانمننې وګورو

د کراس سایټ سکریپټینګ (XSS) په ویب ایپسونو کې یو له خورا پراخه بریدونو څخه دی. که چیرې یو ګواښونکی لوبغاړی د اپلیکیشن په محصول کې د جاواسکریپټ کوډ پلي کړي، دا نه یوازې کوکیز غلا کوي، بلکې ځینې وختونه د سیسټمونو بشپړ جوړجاړی لامل کیږي.

ارتقا CMS V3.1.8

لومړی بګ، Evolution CMS V3.1.8، هیکر ته اجازه ورکوي چې د ادارې برخه کې په مختلفو ځایونو کې د انعکاس شوي XSS برید پیل کړي. الیکسي سولوف وايي چې په سیسټم کې په یوه مجاز مدیر باندې د بریالي برید په صورت کې، د index.php فایل به د هغه کوډ سره لیکل کیږي چې برید کونکي په تادیه کې ځای په ځای کړی.

د FUDForum v3.1.1

دوهم زیانمننه چې په FUDForum v3.1.1 کې کشف شوې، کولی شي هیکر ته اجازه ورکړي چې ذخیره شوي XSS برید پیل کړي. الکسي سولوفوف وايي چې FUDforum یو خورا ګړندی او د توزیع وړ بحث فورم دی. دا خورا دودیز دی او د لامحدود غړو ، فورمونو ، پوسټونو ، موضوعاتو ، رایو او ضمیمو ملاتړ کوي.

د FUDforum ادارې پینل د فایل مدیر لري چې تاسو ته اجازه درکوي سرور ته فایلونه اپلوډ کړئ ، پشمول د PHP توسیع سره فایلونه. یو برید کونکی کولی شي د PHP فایل اپلوډ کولو لپاره آرشیف شوي XSS وکاروي چې کولی شي په سرور کې کوم کمانډ اجرا کړي.

بټ بکټ v4.37.1

په وروستي زیانمنونکي کې، Bitbucket v4.37.1، یو امنیتي بګ وموندل شو چې کولی شي برید کونکي ته اجازه ورکړي چې په مختلفو ځایونو کې ذخیره شوي XSS برید پیل کړي. الکسي سولوفوف وايي چې د آرشیف شوي XSS برید کولی شي په سرور کې د کوډ اجرا کولو لپاره د کارولو هڅه وکړي. اډمین پینل د SQL پوښتنو چلولو لپاره وسیلې لري.

GitBucket د ډیفالټ لخوا د H2 ډیټابیس انجن کارويdefiنيتا د دې ډیټابیس لپاره، د ریموټ کوډ اجرا کولو لپاره په عامه توګه شتون لري. نو، ټول بریدګر باید د دې کارونې پراساس د PoC کوډ رامینځته کړي ، ذخیره ته یې اپلوډ کړي ، او د برید پرمهال یې وکاروئ:

د زیان منونکو شتون څخه څنګه مخنیوی وشي

تل د خلاصې سرچینې پلیټ فارم تازه کړئ ، سمدلاسه کوم اصلاحي پیچونه نصب کړئ.

ستاسو د سیسټم د خوندي کولو څرنګوالي په اړه د مشورې، ارزونې، اټکل غوښتنه وکړئ.

د امنیت ارزونه

دا ستاسو د شرکت اوسنۍ امنیت کچې اندازه کولو لپاره بنسټیز پروسه ده.

د دې کولو لپاره ، دا اړینه ده چې په کافي ډول چمتو شوي سایبر ټیم شامل کړئ ، د IT امنیت په اړه د شرکت حالت تحلیل ترسره کولو وړ.

تحلیل په همغږي ډول ترسره کیدی شي ، د یوې مرکې له لارې چې د سایبر ټیم لخوا ترسره کیږي یا

د آنلاین پوښتنلیک په ډکولو سره هم غیر متناسب.

موږ کولی شو تاسو سره مرسته وکړو، د متخصصینو سره اړیکه ونیسئ ilwebcreativoدا info@ ته لیکيilwebcreativo.it یا په مستقیم ډول په لاندې ښي خوا کې د آیکون په کارولو سره په WhatsApp کې د چیټ کولو له لارې.

د امنیت ویب نظارت: د ډارک ویب تحلیل

تیاره ویب په ډارنیټ کې د ورلډ وایډ ویب مینځپانګې ته اشاره کوي چې د ځانګړي سافټویر ، تشکیلاتو او لاسرسي له لارې انټرنیټ ته رسیدلی شي.
زموږ د امنیت ویب څارنې سره موږ د دې وړتیا لرو چې د سایبر بریدونو مخه ونیسو او د شرکت ډومین تحلیل پیل کړو (د مثال په توګه: ilwebcreativo.it) او انفرادي بریښنالیک پتې.

موږ سره د وټس اپ له لارې اړیکه ونیسئ، موږ کولی شو د ګواښ جلا کولو، د هغې د خپریدو مخنیوي او مخنیوي لپاره د درملنې پلان چمتو کړو. defiموږ د اصلاح لپاره اړین ګامونه پورته کوو. خدمت د ایټالیا څخه 24/XNUMX چمتو کیږي

سایبر ډرایو: د فایلونو شریکولو او ایډیټ کولو لپاره خوندي غوښتنلیک

CyberDrive د کلاوډ فایل مدیر دی چې د ټولو فایلونو خپلواکه کوډ کولو څخه مننه د لوړ امنیت معیارونو سره. په کلاوډ کې د کار کولو او د نورو کاروونکو سره د اسنادو شریکولو او ایډیټ کولو پرمهال د کارپوریټ ډیټا امنیت ډاډمن کړئ. که پیوستون ورک شوی وي، د کارونکي په کمپیوټر کې هیڅ معلومات نه ساتل کیږي. سایبر ډرایو د تصادفي زیان له امله د فایلونو له لاسه ورکولو مخه نیسي یا د غلا لپاره لرې شوي ، دا فزیکي یا ډیجیټل وي.

"کیوب": انقلابي حل

په بکس کې ترټولو کوچنی او خورا پیاوړی ډیټا سینټر د کمپیوټر ځواک او د فزیکي او منطقي زیان څخه محافظت وړاندې کوي. په څنډه او روبو چاپیریالونو کې د ډیټا مدیریت لپاره ډیزاین شوی ، پرچون چاپیریال ، مسلکي دفترونه ، لیرې دفترونه او کوچني سوداګرۍ چیرې چې ځای ، لګښت او د انرژي مصرف اړین دي. دا د معلوماتو مرکزونو او ریک کابینې ته اړتیا نلري. دا په هر ډول چاپیریال کې موقعیت کیدی شي د کاري ځایونو سره په همغږۍ کې د جمالیات اغیزې څخه مننه. «کیوب» د تصدۍ سافټویر ټیکنالوژي د کوچني او متوسط ​​​​سوداګریو په خدمت کې اچوي.

څوک حل کوي:

د امنیتي مسلو څیړلو لپاره، د زیانونو د حل لپاره، ستاسو د معلوماتو سیسټم خوندي کولو لپاره، تل په سکټور کې متخصصینو تکیه وکړئ:

• زنګونه HRC srl + 39 011 8190569
• یا Rocco D'Agostino rda@rhrcsrl.it ته بریښنالیک واستوئ
• یا بریښنالیک واستوئ Ercole Palmeri ercolep@ilwebcreativo.دا

په تیرو اونیو کې موږ د سایبر امنیت په اړه لاندې موضوعاتو سره معامله کړې:

1. په منځني برید کې اصلي
2. ږغ
3. فشینګ او سپیر فشینګ
4. د مداخلې سره برید
5. موټر چلول
6. د کراس سایټ سکریپټینګ (XSS)
7. د SQL انجیکشن برید
8. د مالویر خپریدو بیلګه
9. د ګوګل ډرایو او ډراپ باکس: د APT29 هدف، د روسیې هیکرانو ډله ایز
10. په پاسورډونو برید
11. د سایبر برید رجحانات: لومړۍ نیمایي راپور 2022 - د پوائنټ سافټویر چیک کړئ

Ercole Palmeri: نوښت روږدي

​