Comunicati Stampa

การโจมตีทางไซเบอร์: มันคืออะไร, มันทำงานอย่างไร, วัตถุประสงค์และวิธีป้องกัน: ข้อบกพร่อง XSS ที่อาจทำให้ระบบปิดโดยสมบูรณ์

วันนี้เราเห็นช่องโหว่ของ Cross Site Scripting (XSS) ที่พบในแอปพลิเคชันโอเพ่นซอร์สบางตัว และซึ่งอาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ cross-site scripting (XSS) สามจุดในแอปพลิเคชันโอเพ่นซอร์สยอดนิยมที่อาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล (RCE)

การโจมตี XSS ดั้งเดิมช่วยให้โค้ด JavaScript ของผู้คุกคามสามารถดำเนินการในเว็บเบราว์เซอร์ของผู้ใช้ที่เป็นเหยื่อ ซึ่งเปิดประตูสู่การขโมยคุกกี้ เปลี่ยนเส้นทางไปยังไซต์ฟิชชิ่ง และอื่นๆ อีกมากมาย

ทีนี้มาดูช่องโหว่ที่พบบ้าง

Cross-Site Scripting (XSS) เป็นหนึ่งในการโจมตีที่แพร่หลายที่สุดในเว็บแอป หากผู้คุกคามใช้โค้ดจาวาสคริปต์ในเอาต์พุตของแอป จะไม่เพียงแค่ขโมยคุกกี้เท่านั้น

วิวัฒนาการ CMS V3.1.8

บั๊กแรก Evolution CMS V3.1.8 ทำให้แฮกเกอร์สามารถเปิดการโจมตี XSS ที่สะท้อนให้เห็นในตำแหน่งต่างๆ ในส่วนการจัดการ Aleksey Solovev ระบุว่าในกรณีที่โจมตีผู้ดูแลระบบที่ได้รับอนุญาตในระบบสำเร็จ ไฟล์ index.php จะถูกเขียนทับด้วยรหัสที่ผู้โจมตีวางไว้ในส่วนข้อมูล

ฟอรัม FUD v3.1.1

ช่องโหว่ที่สองที่พบใน FUDForum v3.1.1 อาจทำให้แฮกเกอร์เปิดการโจมตี XSS ที่เก็บไว้ได้ Aleksey Solovev กล่าวว่า FUDforum เป็นฟอรัมสนทนาที่รวดเร็วและสามารถปรับขนาดได้ ปรับแต่งได้สูงและรองรับสมาชิก ฟอรัม โพสต์ หัวข้อ โพล และไฟล์แนบได้ไม่จำกัด

แผงการดูแลระบบ FUDforum มีตัวจัดการไฟล์ที่ให้คุณอัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ รวมถึงไฟล์ที่มีนามสกุล PHP ผู้โจมตีสามารถใช้ XSS ที่เก็บถาวรเพื่ออัปโหลดไฟล์ PHP ที่สามารถรันคำสั่งใดๆ บนเซิร์ฟเวอร์ได้

บิตบัคเก็ต v4.37.1

ในช่องโหว่ล่าสุด Bitbucket v4.37.1 พบจุดบกพร่องด้านความปลอดภัยที่อาจทำให้ผู้โจมตีเปิดการโจมตี XSS ที่เก็บไว้ในสถานที่ต่างๆ Aleksey Solovev ระบุว่าการมีการโจมตี XSS แบบถาวรสามารถพยายามใช้ประโยชน์จากการโจมตีเพื่อรันโค้ดบนเซิร์ฟเวอร์ได้ แผงการดูแลระบบมีเครื่องมือในการเรียกใช้แบบสอบถาม SQL

GitBucket ใช้ H2 Database Engine เป็นค่าเริ่มต้นdefiนิต้า สำหรับฐานข้อมูลนี้ มีช่องโหว่ที่เปิดเผยต่อสาธารณะเพื่อให้สามารถดำเนินการโค้ดจากระยะไกลได้ ดังนั้น สิ่งที่ผู้โจมตีต้องทำคือสร้างโค้ด PoC ตามช่องโหว่นี้ อัปโหลดไปยังพื้นที่เก็บข้อมูล และใช้ระหว่างการโจมตี:

วิธีป้องกันจุดอ่อน

อัปเดตแพลตฟอร์มโอเพ่นซอร์สเสมอ ติดตั้งแพตช์แก้ไขทันที

ขอคำแนะนำ การประเมิน การประเมินความปลอดภัยระบบของคุณ

จดหมายข่าวนวัตกรรม
อย่าพลาดข่าวสารที่สำคัญที่สุดเกี่ยวกับนวัตกรรม ลงทะเบียนเพื่อรับพวกเขาทางอีเมล
การประเมินความปลอดภัย

เป็นกระบวนการพื้นฐานสำหรับการวัดระดับความปลอดภัยในปัจจุบันของบริษัทของคุณ

ในการดำเนินการดังกล่าว จำเป็นต้องมีทีม Cyber ​​​​Team ที่เตรียมพร้อมเพียงพอ สามารถวิเคราะห์สถานะของบริษัทในส่วนที่เกี่ยวกับความปลอดภัยด้านไอทีได้

การวิเคราะห์สามารถทำได้พร้อมกันผ่านการสัมภาษณ์ที่ดำเนินการโดย Cyber ​​​​Team หรือ

แบบอะซิงโครนัสด้วยการกรอกแบบสอบถามออนไลน์

เราช่วยคุณได้ ติดต่อผู้เชี่ยวชาญของ ilwebcreativo.it เขียนถึง info@ilwebcreativo.it หรือแชทผ่าน whatsapp โดยตรงโดยใช้ไอคอนที่ด้านล่างขวา

การตรวจสอบเว็บความปลอดภัย: การวิเคราะห์ DARK WEB

เว็บมืดหมายถึงเนื้อหาของเวิลด์ไวด์เว็บใน darknet ที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตผ่านซอฟต์แวร์ การกำหนดค่า และการเข้าถึงเฉพาะ
ด้วย Security Web Monitoring เราสามารถป้องกันและควบคุมการโจมตีทางไซเบอร์ได้ โดยเริ่มจากการวิเคราะห์โดเมนของบริษัท (เช่น: ilwebcreativo.it ) และที่อยู่อีเมลส่วนบุคคล

ติดต่อเราผ่าน vhatsapp เราสามารถเตรียมแผนการแก้ไขเพื่อแยกภัยคุกคาม ป้องกันการแพร่กระจาย และ defiเราดำเนินการแก้ไขที่จำเป็น ให้บริการทุกวันตลอด 24 ชั่วโมงจากอิตาลี

CYBERDRIVE: แอปพลิเคชั่นที่ปลอดภัยสำหรับการแชร์และแก้ไขไฟล์

CyberDrive เป็นเครื่องมือจัดการไฟล์บนคลาวด์ที่มีมาตรฐานความปลอดภัยสูง ต้องขอบคุณการเข้ารหัสไฟล์ทั้งหมดอย่างอิสระ รับรองความปลอดภัยของข้อมูลองค์กรในขณะที่ทำงานในคลาวด์ และการแชร์และแก้ไขเอกสารกับผู้ใช้รายอื่น หากขาดการเชื่อมต่อ จะไม่มีข้อมูลใดถูกเก็บไว้ในพีซีของผู้ใช้ CyberDrive ป้องกันไม่ให้ไฟล์สูญหายเนื่องจากความเสียหายจากอุบัติเหตุหรือการลักขโมย ไม่ว่าจะเป็นทางกายภาพหรือดิจิทัล

«THE CUBE»: โซลูชั่นที่ปฏิวัติวงการ

ศูนย์ข้อมูลในกล่องที่เล็กที่สุดและทรงพลังที่สุดให้พลังการประมวลผลและการป้องกันจากความเสียหายทางกายภาพและทางตรรกะ ออกแบบมาสำหรับการจัดการข้อมูลในสภาพแวดล้อม Edge และ robo, สภาพแวดล้อมการค้าปลีก, สำนักงานระดับมืออาชีพ, สำนักงานระยะไกล และธุรกิจขนาดเล็กที่จำเป็นต้องใช้พื้นที่ ต้นทุน และพลังงาน ไม่ต้องใช้ศูนย์ข้อมูลและตู้แร็ค สามารถติดตั้งได้ในทุกสภาพแวดล้อมด้วยความสวยงามของผลกระทบที่กลมกลืนกับพื้นที่ทำงาน «The Cube» นำเทคโนโลยีซอฟต์แวร์ระดับองค์กรมาใช้กับธุรกิจขนาดเล็กและขนาดกลาง

ใครแก้:

ในการตรวจสอบปัญหาด้านความปลอดภัย การแก้ไขช่องโหว่ การรักษาความปลอดภัยระบบข้อมูลของคุณ พึ่งพาผู้เชี่ยวชาญในภาคส่วนเสมอ:

  • โทร HRC srl + 39 011 8190569
  • หรือส่งอีเมลไปที่ Rocco D'Agostino rda@rhrcsrl.it
  • หรือส่งอีเมลไปที่ Ercole Palmeri ercolep@ilwebcreativo.มัน

ในสัปดาห์ที่ผ่านมา เราได้จัดการกับหัวข้อต่อไปนี้เกี่ยวกับความปลอดภัยทางไซเบอร์:

  1. หลักในการโจมตีกลาง
  2. มัลแวร์
  3. ฟิชชิงและฟิชชิงหอก
  4. โจมตีด้วยการสกัดกั้น
  5. ขับโดย
  6. การเขียนสคริปต์ข้ามไซต์ (XSS)
  7. การโจมตีด้วยการฉีด SQL
  8. ตัวอย่างการแพร่กระจายมัลแวร์
  9. Google Drive & Dropbox: เป้าหมายของ APT29 กลุ่มแฮกเกอร์ชาวรัสเซีย
  10. โจมตีรหัสผ่าน
  11. แนวโน้มการโจมตีทางไซเบอร์: รายงานครึ่งปีแรก 2022 - ซอฟต์แวร์จุดตรวจสอบ

Ercole Palmeri: เสพติดนวัตกรรม

†<  

จดหมายข่าวนวัตกรรม
อย่าพลาดข่าวสารที่สำคัญที่สุดเกี่ยวกับนวัตกรรม ลงทะเบียนเพื่อรับพวกเขาทางอีเมล

บทความล่าสุด

ตลาด Smart Lock: รายงานการวิจัยตลาดที่เผยแพร่

คำว่า Smart Lock Market หมายถึงอุตสาหกรรมและระบบนิเวศที่เกี่ยวข้องกับการผลิต การจัดจำหน่าย และการใช้งาน...

27 2024 มีนาคม

รูปแบบการออกแบบคืออะไร: ทำไมต้องใช้มัน การจำแนกประเภท ข้อดีและข้อเสีย

ในวิศวกรรมซอฟต์แวร์ รูปแบบการออกแบบเป็นวิธีแก้ปัญหาที่เหมาะสมที่สุดสำหรับปัญหาที่มักเกิดขึ้นในการออกแบบซอฟต์แวร์ ฉันชอบ…

26 2024 มีนาคม

วิวัฒนาการทางเทคโนโลยีของการมาร์กทางอุตสาหกรรม

การมาร์กทางอุตสาหกรรมเป็นคำกว้างๆ ที่ครอบคลุมถึงเทคนิคต่างๆ ที่ใช้ในการสร้างมาร์กถาวรบนพื้นผิวของ...

25 2024 มีนาคม

ตัวอย่างของ Excel Macros ที่เขียนด้วย VBA

ตัวอย่างแมโคร Excel ง่ายๆ ต่อไปนี้เขียนโดยใช้ VBA เวลาในการอ่านโดยประมาณ: 3 นาที ตัวอย่าง...

25 2024 มีนาคม

อ่านนวัตกรรมในภาษาของคุณ

จดหมายข่าวนวัตกรรม
อย่าพลาดข่าวสารที่สำคัญที่สุดเกี่ยวกับนวัตกรรม ลงทะเบียนเพื่อรับพวกเขาทางอีเมล

ติดตามเรา