Kiberxavfsizlik bo'yicha mutaxassislar mashhur ochiq kodli ilovalarda masofaviy kod bajarilishiga (RCE) olib kelishi mumkin bo'lgan uchta saytlararo skript (XSS) zaifligi haqida ma'lumot tarqatdi.
Ibtidoiy XSS hujumi tahdid qiluvchining JavaScript kodini jabrlanuvchi foydalanuvchining veb-brauzerida bajarishga imkon beradi, bu esa cookie-fayllarni o'g'irlash, fishing saytiga yo'naltirish va boshqalar uchun eshikni ochadi.
Saytlararo skript yaratish (XSS) veb-ilovalardagi eng keng tarqalgan hujumlardan biri hisoblanadi.Agar tahdid aktyori ilova chiqishida javascript kodini amalga oshirsa, u nafaqat cookie-fayllarni o'g'irlaydi, balki ba'zida tizimlarning to'liq buzilishiga olib keladi.
Birinchi xato, Evolution CMS V3.1.8, xakerga ma'muriyat bo'limining turli joylarida aks ettirilgan XSS hujumini boshlash imkonini beradi. Aleksey Solovevning ta'kidlashicha, tizimdagi vakolatli administratorga muvaffaqiyatli hujum qilingan taqdirda, index.php fayli tajovuzkor foydali yukga joylashtirgan kod bilan qayta yoziladi.
FUDForum v3.1.1 da topilgan ikkinchi zaiflik xakerga saqlangan XSS hujumini boshlash imkonini berishi mumkin. Aleksey Solovevning aytishicha, FUDforum - bu juda tez va kengaytiriladigan muhokama forumi. U juda moslashtirilgan va cheksiz a'zolar, forumlar, xabarlar, mavzular, so'rovlar va qo'shimchalarni qo'llab-quvvatlaydi.
FUDforum boshqaruv panelida fayllarni serverga, jumladan, PHP kengaytmali fayllarni yuklash imkonini beruvchi fayl boshqaruvchisi mavjud. Tajovuzkor serverda istalgan buyruqni bajara oladigan PHP faylini yuklash uchun arxivlangan XSS dan foydalanishi mumkin.
Bitbucket v4.37.1 so‘nggi zaifligida tajovuzkorga turli joylarda saqlangan XSS hujumini amalga oshirish imkonini beradigan xavfsizlik xatosi aniqlandi. Aleksey Solovevning ta'kidlashicha, arxivlangan XSS hujumi serverda kodni bajarish uchun undan foydalanishga urinishi mumkin. Administrator panelida SQL so'rovlarini bajarish uchun asboblar mavjud.
GitBucket sukut bo'yicha H2 ma'lumotlar bazasi mexanizmidan foydalanadidefinita. Ushbu ma'lumotlar bazasi uchun masofaviy kodni bajarishga erishish uchun hammaga ochiq ekspluatatsiya mavjud. Shunday qilib, tajovuzkorga faqat ushbu ekspluatatsiya asosida PoC kodini yaratish, uni omborga yuklash va hujum paytida foydalanish kerak bo'ladi:
Har doim Open Source platformasini yangilang, darhol tuzatuvchi yamoqlarni o'rnating.
Tizimingizni qanday himoya qilish bo'yicha maslahat, baholash va taxminni so'rang.
Bu kompaniyangizning hozirgi xavfsizlik darajasini o'lchashning asosiy jarayonidir.
Buning uchun kompaniyaning AT xavfsizligi bo'yicha holatini tahlil qila oladigan, etarli darajada tayyorlangan Cyber Teamni jalb qilish kerak.
Tahlil sinxron ravishda, Cyber Team tomonidan o'tkaziladigan intervyu orqali yoki
shuningdek, onlayn anketani to'ldirish orqali asinxron.
Biz sizga yordam bera olamiz, mutaxassislarga murojaat qiling ilwebcreativo.info@ ga yozadiilwebcreativo.it yoki to'g'ridan-to'g'ri pastki o'ngdagi belgidan foydalanib, whatsapp orqali suhbatlashing.
Qorong'i veb - bu ma'lum dasturiy ta'minot, konfiguratsiyalar va kirishlar orqali Internet orqali kirish mumkin bo'lgan qorong'u tarmoqlardagi World Wide Web mazmunini anglatadi.
Xavfsizlik veb-monitoringimiz yordamida biz kompaniya domenini tahlil qilishdan boshlab, kiberhujumlarning oldini olish va ularni o'z ichiga olishimiz mumkin (masalan: ilwebcreativo.it ) va individual elektron pochta manzillari.
Biz bilan vhatsapp orqali bog'laning, biz tahdidni izolyatsiya qilish, uning tarqalishining oldini olish va oldini olish uchun tuzatish rejasini tayyorlashimiz mumkin. defizarur tuzatish choralarini ko'ramiz. Xizmat Italiyadan 24/XNUMX taqdim etiladi
CyberDrive - barcha fayllarni mustaqil shifrlash tufayli yuqori xavfsizlik standartlariga ega bulutli fayl boshqaruvchisi. Bulutda ishlash va hujjatlarni boshqa foydalanuvchilar bilan almashish va tahrirlashda korporativ maʼlumotlar xavfsizligini taʼminlang. Agar ulanish uzilgan bo'lsa, foydalanuvchi shaxsiy kompyuterida hech qanday ma'lumot saqlanmaydi. CyberDrive fayllarning tasodifiy shikastlanishi yoki jismoniy yoki raqamli bo'lishidan qat'i nazar, o'g'irlik uchun yo'qolishining oldini oladi.
Hisoblash quvvatini va jismoniy va mantiqiy shikastlanishdan himoya qilishni taklif qiluvchi eng kichik va eng kuchli ma'lumotlar markazi. Keng va robotli muhitda, chakana savdo muhitida, professional ofislarda, masofaviy ofislarda va bo'sh joy, xarajatlar va energiya sarfi muhim bo'lgan kichik korxonalarda ma'lumotlarni boshqarish uchun mo'ljallangan. Bu ma'lumotlar markazlari va raf shkaflarini talab qilmaydi. Ish joylari bilan uyg'unlikdagi ta'sirli estetika tufayli u har qanday muhitda joylashtirilishi mumkin. "The Cube" korporativ dasturiy ta'minot texnologiyasini kichik va o'rta biznes xizmatlariga qo'yadi.
Xavfsizlik muammolarini o'rganish, zaifliklarni bartaraf etish, axborot tizimingizni himoya qilish uchun doimo soha mutaxassislariga tayaning:
Ercole Palmeri: Innovatsiyalarga qaram
مور
Veeam tomonidan ishlab chiqarilgan Coveware kiber tovlamachilik hodisalariga javob berish xizmatlarini taqdim etishda davom etadi. Coveware sud tibbiyoti va remediatsiya imkoniyatlarini taklif qiladi ...
Bashoratli texnik xizmat ko'rsatish zavodlarni boshqarishga innovatsion va proaktiv yondashuv bilan neft va gaz sektorini inqilob qilmoqda.…
Buyuk Britaniya CMA Big Tech kompaniyasining sun'iy intellekt bozoridagi xatti-harakatlari haqida ogohlantirish e'lon qildi. U yerda…
Evropa Ittifoqi tomonidan binolarning energiya samaradorligini oshirish uchun ishlab chiqilgan "Yashil uylar" qarori qonunchilik jarayonini yakunladi ...