Стручњаци за сајбер безбедност су дистрибуирали информације о три рањивости скриптовања на више локација (КССС) у популарним апликацијама отвореног кода које могу да изазову даљинско извршавање кода (РЦЕ).
Примитивни КССС напад омогућава извршавање ЈаваСцрипт кода актера претње у веб претраживачу корисника жртве, што отвара врата крађи колачића, преусмерава на сајт за пхисхинг и још много тога.
Цросс-Сите Сцриптинг (КССС) је један од најраспрострањенијих напада у веб апликацијама. Ако актер претње имплементира јавасцрипт код у излазу апликације, то не само да краде колачиће, већ понекад доводи и до потпуног компромитовања система.
Прва грешка, Еволутион ЦМС В3.1.8, омогућава хакеру да покрене рефлектовани КССС напад на различитим локацијама у одељку за администрацију. Алексеј Соловјев наводи да ће у случају успешног напада на овлашћеног администратора у систему, датотека индек.пхп бити замењена кодом који је нападач поставио у садржај.
Друга рањивост, откривена у ФУДФорум в3.1.1, могла би дозволити хакеру да покрене сачувани КССС напад. Алексеј Соловјев каже да је ФУДфорум супер брз и скалабилан форум за дискусију. Веома је прилагодљив и подржава неограничено чланство, форуме, постове, теме, анкете и прилоге.
Административна табла ФУДфорума има менаџер датотека који вам омогућава да отпремате датотеке на сервер, укључујући датотеке са ПХП екстензијом. Нападач би могао да користи архивирани КССС да отпреми ПХП датотеку која може да изврши било коју команду на серверу.
У најновијој рањивости, Битбуцкет в4.37.1, пронађена је безбедносна грешка која би могла дозволити нападачу да покрене КССС напад похрањен на различитим локацијама. Алексеј Соловјев наводи да архивирани КССС напад може покушати да га искористи за извршавање кода на серверу. Административни панел има алате за покретање СКЛ упита.
ГитБуцкет подразумевано користи Х2 Датабасе Енгинеdefiнита. За ову базу података постоји јавно доступна експлоатација за постизање даљинског извршавања кода. Дакле, све што нападач треба да уради је да креира ПоЦ код заснован на овом експлоатацији, отпреми га у спремиште и користи га током напада:
Увек ажурирајте платформу отвореног кода, одмах инсталирајте све корективне закрпе.
Затражите савет, процену, процену како да обезбедите свој систем.
То је основни процес за мерење тренутног нивоа безбедности ваше компаније.
За то је потребно укључити адекватно припремљен Цибер тим, способан да изврши анализу стања у коме се компанија налази у погледу ИТ безбедности.
Анализа се може спровести синхроно, кроз интервју који води Сајбер тим или
такође асинхрони, попуњавањем упитника онлајн.
Можемо вам помоћи, контактирајте специјалисте за ilwebcreativo.ит пише на инфо@ilwebcreativo.ит или директно ћаскањем на ВхатсАпп-у помоћу иконе у доњем десном углу.
Мрачни веб се односи на садржаје Ворлд Виде Веб-а у мрачним мрежама до којих се може доћи путем Интернета преко одређеног софтвера, конфигурација и приступа.
Са нашим Сецурити Веб Мониторингом у могућности смо да спречимо и обуздамо сајбер нападе, почевши од анализе домена компаније (нпр. ilwebcreativo.ит ) и појединачне е-маил адресе.
Контактирајте нас путем вхатсапп-а, можемо припремити план санације да изолујемо претњу, спречимо њено ширење и defiпредузимамо неопходне радње санације. Услуга се пружа 24/XNUMX из Италије
ЦиберДриве је управљање датотекама у облаку са високим безбедносним стандардима захваљујући независном шифровању свих датотека. Осигурајте сигурност корпоративних података док радите у облаку и делите и уређујете документе са другим корисницима. Ако се веза изгуби, подаци се не чувају на рачунару корисника. ЦиберДриве спречава губитак датотека услед случајног оштећења или ексфилтрирање ради крађе, било да су физичке или дигиталне.
Најмањи и најмоћнији центар података у кутији који нуди рачунарску снагу и заштиту од физичких и логичких оштећења. Дизајниран за управљање подацима у рубним и робо окружењима, малопродајним окружењима, професионалним канцеларијама, удаљеним канцеларијама и малим предузећима где су простор, трошкови и потрошња енергије од суштинског значаја. Не захтевају дата центре и ормане. Може се поставити у било коју врсту окружења захваљујући ударној естетици у складу са радним простором. «Тхе Цубе» ставља софтверску технологију за предузећа у службу малих и средњих предузећа.
Да бисте истражили безбедносна питања, решили пропусте, обезбедили свој информациони систем, увек се ослоните на стручњаке у сектору:
Ercole Palmeri: Инноватион аддицтед
Цовеваре од Вееам-а ће наставити да пружа услуге одговора на инциденте са сајбер изнудом. Цовеваре ће понудити форензику и могућности санације…
Предиктивно одржавање револуционише сектор нафте и гаса, са иновативним и проактивним приступом управљању постројењима.…
УК ЦМА је издао упозорење о понашању Биг Тецх-а на тржишту вештачке интелигенције. Тамо…
Уредба „Цасе Греен“, коју је формулисала Европска унија за побољшање енергетске ефикасности зграда, завршила је свој законодавни процес са…