Kiberhujum: bu nima, u qanday ishlaydi, maqsad va uni qanday oldini olish mumkin: tizimning to'liq o'chirilishiga olib keladigan XSS xatolari

Bugun biz ba'zi ochiq kodli ilovalarda topilgan va masofaviy kod bajarilishiga olib kelishi mumkin bo'lgan ba'zi Cross Site Scripting (XSS) zaifliklarini ko'rmoqdamiz.

Kiberxavfsizlik bo'yicha mutaxassislar mashhur ochiq kodli ilovalarda masofaviy kod bajarilishiga (RCE) olib kelishi mumkin bo'lgan uchta saytlararo skript (XSS) zaifligi haqida ma'lumot tarqatdi.

Ibtidoiy XSS hujumi tahdid qiluvchining JavaScript kodini jabrlanuvchi foydalanuvchining veb-brauzerida bajarishga imkon beradi, bu esa cookie-fayllarni o'g'irlash, fishing saytiga yo'naltirish va boshqalar uchun eshikni ochadi.

Keling, topilgan ba'zi zaifliklarni ko'rib chiqaylik

Saytlararo skript yaratish (XSS) veb-ilovalardagi eng keng tarqalgan hujumlardan biri hisoblanadi.Agar tahdid aktyori ilova chiqishida javascript kodini amalga oshirsa, u nafaqat cookie-fayllarni o'g'irlaydi, balki ba'zida tizimlarning to'liq buzilishiga olib keladi.

Evolyutsiya CMS V3.1.8

Birinchi xato, Evolution CMS V3.1.8, xakerga ma'muriyat bo'limining turli joylarida aks ettirilgan XSS hujumini boshlash imkonini beradi. Aleksey Solovevning ta'kidlashicha, tizimdagi vakolatli administratorga muvaffaqiyatli hujum qilingan taqdirda, index.php fayli tajovuzkor foydali yukga joylashtirgan kod bilan qayta yoziladi.

FUD Forum v3.1.1

FUDForum v3.1.1 da topilgan ikkinchi zaiflik xakerga saqlangan XSS hujumini boshlash imkonini berishi mumkin. Aleksey Solovevning aytishicha, FUDforum - bu juda tez va kengaytiriladigan muhokama forumi. U juda moslashtirilgan va cheksiz a'zolar, forumlar, xabarlar, mavzular, so'rovlar va qo'shimchalarni qo'llab-quvvatlaydi.

FUDforum boshqaruv panelida fayllarni serverga, jumladan, PHP kengaytmali fayllarni yuklash imkonini beruvchi fayl boshqaruvchisi mavjud. Tajovuzkor serverda istalgan buyruqni bajara oladigan PHP faylini yuklash uchun arxivlangan XSS dan foydalanishi mumkin.

Bitbucket v4.37.1

Bitbucket v4.37.1 so‘nggi zaifligida tajovuzkorga turli joylarda saqlangan XSS hujumini amalga oshirish imkonini beradigan xavfsizlik xatosi aniqlandi. Aleksey Solovevning ta'kidlashicha, arxivlangan XSS hujumi serverda kodni bajarish uchun undan foydalanishga urinishi mumkin. Administrator panelida SQL so'rovlarini bajarish uchun asboblar mavjud.

GitBucket sukut bo'yicha H2 ma'lumotlar bazasi mexanizmidan foydalanadidefinita. Ushbu ma'lumotlar bazasi uchun masofaviy kodni bajarishga erishish uchun hammaga ochiq ekspluatatsiya mavjud. Shunday qilib, tajovuzkorga faqat ushbu ekspluatatsiya asosida PoC kodini yaratish, uni omborga yuklash va hujum paytida foydalanish kerak bo'ladi:

Zaifliklar mavjudligini qanday oldini olish mumkin

Har doim Open Source platformasini yangilang, darhol tuzatuvchi yamoqlarni o'rnating.

Tizimingizni qanday himoya qilish bo'yicha maslahat, baholash va taxminni so'rang.

XAVFSIZLIKNI BAHOLASH

Bu kompaniyangizning hozirgi xavfsizlik darajasini o'lchashning asosiy jarayonidir.

Buning uchun kompaniyaning AT xavfsizligi bo'yicha holatini tahlil qila oladigan, etarli darajada tayyorlangan Cyber ​​​​Teamni jalb qilish kerak.

Tahlil sinxron ravishda, Cyber ​​​​Team tomonidan o'tkaziladigan intervyu orqali yoki

shuningdek, onlayn anketani to'ldirish orqali asinxron.

Biz sizga yordam bera olamiz, mutaxassislarga murojaat qiling ilwebcreativo.info@ ga yozadiilwebcreativo.it yoki to'g'ridan-to'g'ri pastki o'ngdagi belgidan foydalanib, whatsapp orqali suhbatlashing.

XAVFSIZLIK WEB MONITORING: DARK WEB tahlili

Qorong'i veb - bu ma'lum dasturiy ta'minot, konfiguratsiyalar va kirishlar orqali Internet orqali kirish mumkin bo'lgan qorong'u tarmoqlardagi World Wide Web mazmunini anglatadi.
Xavfsizlik veb-monitoringimiz yordamida biz kompaniya domenini tahlil qilishdan boshlab, kiberhujumlarning oldini olish va ularni o'z ichiga olishimiz mumkin (masalan: ilwebcreativo.it ) va individual elektron pochta manzillari.

Biz bilan vhatsapp orqali bog'laning, biz tahdidni izolyatsiya qilish, uning tarqalishining oldini olish va oldini olish uchun tuzatish rejasini tayyorlashimiz mumkin. defizarur tuzatish choralarini ko'ramiz. Xizmat Italiyadan 24/XNUMX taqdim etiladi

CYBERDRIVE: fayllarni almashish va tahrirlash uchun xavfsiz dastur

CyberDrive - barcha fayllarni mustaqil shifrlash tufayli yuqori xavfsizlik standartlariga ega bulutli fayl boshqaruvchisi. Bulutda ishlash va hujjatlarni boshqa foydalanuvchilar bilan almashish va tahrirlashda korporativ maʼlumotlar xavfsizligini taʼminlang. Agar ulanish uzilgan bo'lsa, foydalanuvchi shaxsiy kompyuterida hech qanday ma'lumot saqlanmaydi. CyberDrive fayllarning tasodifiy shikastlanishi yoki jismoniy yoki raqamli bo'lishidan qat'i nazar, o'g'irlik uchun yo'qolishining oldini oladi.

"KUB": inqilobiy yechim

Hisoblash quvvatini va jismoniy va mantiqiy shikastlanishdan himoya qilishni taklif qiluvchi eng kichik va eng kuchli ma'lumotlar markazi. Keng va robotli muhitda, chakana savdo muhitida, professional ofislarda, masofaviy ofislarda va bo'sh joy, xarajatlar va energiya sarfi muhim bo'lgan kichik korxonalarda ma'lumotlarni boshqarish uchun mo'ljallangan. Bu ma'lumotlar markazlari va raf shkaflarini talab qilmaydi. Ish joylari bilan uyg'unlikdagi ta'sirli estetika tufayli u har qanday muhitda joylashtirilishi mumkin. "The Cube" korporativ dasturiy ta'minot texnologiyasini kichik va o'rta biznes xizmatlariga qo'yadi.

Kim hal qiladi:

Xavfsizlik muammolarini o'rganish, zaifliklarni bartaraf etish, axborot tizimingizni himoya qilish uchun doimo soha mutaxassislariga tayaning:

• Qo'ng'iroqlar HRC srl + 39 011 8190569
• yoki Rocco D'Agostino rda@rhrcsrl.it elektron pochta manziliga xat yuboring
• yoki elektron pochta manziliga xat yuboring Ercole Palmeri ercolep@ilwebcreativo.U

O'tgan haftalarda biz kiberxavfsizlik bilan bog'liq quyidagi mavzularni ko'rib chiqdik:

1. O'rta hujumda asosiy
2. Malware
3. Fishing va Spear fishing
4. Interception bilan hujum
5. Mashinada
6. Saytlararo skript (XSS)
7. SQL Injection hujumi
8. Zararli dastur tarqalishiga misol
9. Google Drive va Dropbox: APT29 maqsadi, Rossiya xakerlari jamoasi
10. Parollarga hujum
11. Kiberhujum tendentsiyalari: 2022 yil birinchi yarim yillik hisoboti - Check Point dasturiy ta'minoti

Ercole Palmeri: Innovatsiyalarga qaram

مور