ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ cross-site scripting (XSS) สามจุดในแอปพลิเคชันโอเพ่นซอร์สยอดนิยมที่อาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล (RCE)
การโจมตี XSS ดั้งเดิมช่วยให้โค้ด JavaScript ของผู้คุกคามสามารถดำเนินการในเว็บเบราว์เซอร์ของผู้ใช้ที่เป็นเหยื่อ ซึ่งเปิดประตูสู่การขโมยคุกกี้ เปลี่ยนเส้นทางไปยังไซต์ฟิชชิ่ง และอื่นๆ อีกมากมาย
Cross-Site Scripting (XSS) เป็นหนึ่งในการโจมตีที่แพร่หลายที่สุดในเว็บแอป หากผู้คุกคามใช้โค้ดจาวาสคริปต์ในเอาต์พุตของแอป จะไม่เพียงแค่ขโมยคุกกี้เท่านั้น
บั๊กแรก Evolution CMS V3.1.8 ทำให้แฮกเกอร์สามารถเปิดการโจมตี XSS ที่สะท้อนให้เห็นในตำแหน่งต่างๆ ในส่วนการจัดการ Aleksey Solovev ระบุว่าในกรณีที่โจมตีผู้ดูแลระบบที่ได้รับอนุญาตในระบบสำเร็จ ไฟล์ index.php จะถูกเขียนทับด้วยรหัสที่ผู้โจมตีวางไว้ในส่วนข้อมูล
ช่องโหว่ที่สองที่พบใน FUDForum v3.1.1 อาจทำให้แฮกเกอร์เปิดการโจมตี XSS ที่เก็บไว้ได้ Aleksey Solovev กล่าวว่า FUDforum เป็นฟอรัมสนทนาที่รวดเร็วและสามารถปรับขนาดได้ ปรับแต่งได้สูงและรองรับสมาชิก ฟอรัม โพสต์ หัวข้อ โพล และไฟล์แนบได้ไม่จำกัด
แผงการดูแลระบบ FUDforum มีตัวจัดการไฟล์ที่ให้คุณอัปโหลดไฟล์ไปยังเซิร์ฟเวอร์ รวมถึงไฟล์ที่มีนามสกุล PHP ผู้โจมตีสามารถใช้ XSS ที่เก็บถาวรเพื่ออัปโหลดไฟล์ PHP ที่สามารถรันคำสั่งใดๆ บนเซิร์ฟเวอร์ได้
ในช่องโหว่ล่าสุด Bitbucket v4.37.1 พบจุดบกพร่องด้านความปลอดภัยที่อาจทำให้ผู้โจมตีเปิดการโจมตี XSS ที่เก็บไว้ในสถานที่ต่างๆ Aleksey Solovev ระบุว่าการมีการโจมตี XSS แบบถาวรสามารถพยายามใช้ประโยชน์จากการโจมตีเพื่อรันโค้ดบนเซิร์ฟเวอร์ได้ แผงการดูแลระบบมีเครื่องมือในการเรียกใช้แบบสอบถาม SQL
GitBucket ใช้ H2 Database Engine เป็นค่าเริ่มต้นdefiนิต้า สำหรับฐานข้อมูลนี้ มีช่องโหว่ที่เปิดเผยต่อสาธารณะเพื่อให้สามารถดำเนินการโค้ดจากระยะไกลได้ ดังนั้น สิ่งที่ผู้โจมตีต้องทำคือสร้างโค้ด PoC ตามช่องโหว่นี้ อัปโหลดไปยังพื้นที่เก็บข้อมูล และใช้ระหว่างการโจมตี:
อัปเดตแพลตฟอร์มโอเพ่นซอร์สเสมอ ติดตั้งแพตช์แก้ไขทันที
ขอคำแนะนำ การประเมิน การประเมินความปลอดภัยระบบของคุณ
เป็นกระบวนการพื้นฐานสำหรับการวัดระดับความปลอดภัยในปัจจุบันของบริษัทของคุณ
ในการดำเนินการดังกล่าว จำเป็นต้องมีทีม Cyber Team ที่เตรียมพร้อมเพียงพอ สามารถวิเคราะห์สถานะของบริษัทในส่วนที่เกี่ยวกับความปลอดภัยด้านไอทีได้
การวิเคราะห์สามารถทำได้พร้อมกันผ่านการสัมภาษณ์ที่ดำเนินการโดย Cyber Team หรือ
แบบอะซิงโครนัสด้วยการกรอกแบบสอบถามออนไลน์
เราช่วยคุณได้ ติดต่อผู้เชี่ยวชาญของ ilwebcreativo.it เขียนถึง info@ilwebcreativo.it หรือแชทผ่าน whatsapp โดยตรงโดยใช้ไอคอนที่ด้านล่างขวา
เว็บมืดหมายถึงเนื้อหาของเวิลด์ไวด์เว็บใน darknet ที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตผ่านซอฟต์แวร์ การกำหนดค่า และการเข้าถึงเฉพาะ
ด้วย Security Web Monitoring เราสามารถป้องกันและควบคุมการโจมตีทางไซเบอร์ได้ โดยเริ่มจากการวิเคราะห์โดเมนของบริษัท (เช่น: ilwebcreativo.it ) และที่อยู่อีเมลส่วนบุคคล
ติดต่อเราผ่าน vhatsapp เราสามารถเตรียมแผนการแก้ไขเพื่อแยกภัยคุกคาม ป้องกันการแพร่กระจาย และ defiเราดำเนินการแก้ไขที่จำเป็น ให้บริการทุกวันตลอด 24 ชั่วโมงจากอิตาลี
CyberDrive เป็นเครื่องมือจัดการไฟล์บนคลาวด์ที่มีมาตรฐานความปลอดภัยสูง ต้องขอบคุณการเข้ารหัสไฟล์ทั้งหมดอย่างอิสระ รับรองความปลอดภัยของข้อมูลองค์กรในขณะที่ทำงานในคลาวด์ และการแชร์และแก้ไขเอกสารกับผู้ใช้รายอื่น หากขาดการเชื่อมต่อ จะไม่มีข้อมูลใดถูกเก็บไว้ในพีซีของผู้ใช้ CyberDrive ป้องกันไม่ให้ไฟล์สูญหายเนื่องจากความเสียหายจากอุบัติเหตุหรือการลักขโมย ไม่ว่าจะเป็นทางกายภาพหรือดิจิทัล
ศูนย์ข้อมูลในกล่องที่เล็กที่สุดและทรงพลังที่สุดให้พลังการประมวลผลและการป้องกันจากความเสียหายทางกายภาพและทางตรรกะ ออกแบบมาสำหรับการจัดการข้อมูลในสภาพแวดล้อม Edge และ robo, สภาพแวดล้อมการค้าปลีก, สำนักงานระดับมืออาชีพ, สำนักงานระยะไกล และธุรกิจขนาดเล็กที่จำเป็นต้องใช้พื้นที่ ต้นทุน และพลังงาน ไม่ต้องใช้ศูนย์ข้อมูลและตู้แร็ค สามารถติดตั้งได้ในทุกสภาพแวดล้อมด้วยความสวยงามของผลกระทบที่กลมกลืนกับพื้นที่ทำงาน «The Cube» นำเทคโนโลยีซอฟต์แวร์ระดับองค์กรมาใช้กับธุรกิจขนาดเล็กและขนาดกลาง
ในการตรวจสอบปัญหาด้านความปลอดภัย การแก้ไขช่องโหว่ การรักษาความปลอดภัยระบบข้อมูลของคุณ พึ่งพาผู้เชี่ยวชาญในภาคส่วนเสมอ:
Ercole Palmeri: เสพติดนวัตกรรม
†<
คำว่า Smart Lock Market หมายถึงอุตสาหกรรมและระบบนิเวศที่เกี่ยวข้องกับการผลิต การจัดจำหน่าย และการใช้งาน...
ในวิศวกรรมซอฟต์แวร์ รูปแบบการออกแบบเป็นวิธีแก้ปัญหาที่เหมาะสมที่สุดสำหรับปัญหาที่มักเกิดขึ้นในการออกแบบซอฟต์แวร์ ฉันชอบ…
การมาร์กทางอุตสาหกรรมเป็นคำกว้างๆ ที่ครอบคลุมถึงเทคนิคต่างๆ ที่ใช้ในการสร้างมาร์กถาวรบนพื้นผิวของ...
ตัวอย่างแมโคร Excel ง่ายๆ ต่อไปนี้เขียนโดยใช้ VBA เวลาในการอ่านโดยประมาณ: 3 นาที ตัวอย่าง...