Heartbleed जोखिम के हो र यसले वेब अनुप्रयोगहरूलाई कसरी असर गर्छ?
The Heartbleed vulnerability एक गम्भीर सुरक्षा त्रुटि हो जुन OpenSSL क्रिप्टोग्राफिक सफ्टवेयर लाइब्रेरीमा अप्रिल 2014 मा पत्ता लगाइएको थियो। OpenSSL लाई वेब अनुप्रयोगहरू सहित इन्टरनेटमा सञ्चार सुरक्षित गर्न व्यापक रूपमा प्रयोग गरिन्छ। यो जोखिमले आक्रमणकारीलाई ट्रान्सपोर्ट लेयर सेक्युरिटी (TLS) हार्टबिट एक्सटेन्सनको OpenSSL कार्यान्वयनमा भएको त्रुटिको शोषण गर्न अनुमति दिन्छ।
कसरी परावर्तित XSS भण्डार गरिएको XSS भन्दा फरक छ?
प्रतिबिम्बित XSS र भण्डारित XSS दुबै प्रकारका क्रस-साइट स्क्रिप्टिङ (XSS) कमजोरीहरू हुन् जसलाई आक्रमणकारीहरूले वेब अनुप्रयोगहरू सम्झौता गर्न प्रयोग गर्न सक्छन्। तिनीहरूले केही समानताहरू साझा गर्दा, तिनीहरू दुर्भावनापूर्ण पेलोड डेलिभर र भण्डारण गर्ने तरिकामा भिन्न हुन्छन्। प्रतिबिम्बित XSS, जसलाई गैर-निरन्तर वा टाइप 1 XSS पनि भनिन्छ, तब हुन्छ जब मालिसियस पेलोड हुन्छ
- मा प्रकाशित Cybersecurity, EITC/IS/WAPT वेब अनुप्रयोगहरू प्रवेश परीक्षण, क्रस-साइट स्क्रिप्टि।, XSS - प्रतिबिम्बित, भण्डारण र DOM, परीक्षा समीक्षा
वर्डप्रेस स्थापनाहरूको लागि प्रयोगकर्ता नाम गणनामा उपकरण जुमले कसरी मद्दत गर्छ?
जुम वेब कन्फरेन्सिङको लागि एक व्यापक रूपमा प्रयोग गरिएको उपकरण हो, तर यो WordPress स्थापनाहरूमा प्रयोगकर्ता नाम गणनाको लागि आक्रमणकारीहरूद्वारा पनि प्रयोग गर्न सकिन्छ। प्रयोगकर्ता नाम गणना भनेको लक्षित प्रणालीको लागि वैध प्रयोगकर्ता नामहरू पत्ता लगाउने प्रक्रिया हो, जुन त्यसपछि थप आक्रमणहरूमा प्रयोग गर्न सकिन्छ जस्तै ब्रूट-फोर्सिङ पासवर्डहरू वा लक्षित फिसिङ अभियानहरू सुरु गर्ने। यस मा
क्रस-साइट रिक्वेस्ट फोर्जरी (CSRF) के हो र यसलाई आक्रमणकारीहरूले कसरी प्रयोग गर्न सक्छन्?
क्रस-साइट अनुरोध जाली (CSRF) वेब सुरक्षा जोखिमको एक प्रकार हो जसले आक्रमणकर्तालाई पीडित प्रयोगकर्ताको तर्फबाट अनाधिकृत कार्यहरू गर्न अनुमति दिन्छ। यो आक्रमण तब हुन्छ जब खराब वेबसाइटले प्रयोगकर्ताको ब्राउजरलाई लक्षित वेबसाइटमा अनुरोध गर्न खोज्छ जहाँ पीडितलाई प्रमाणीकरण गरिएको हुन्छ, जसले गर्दा अनावश्यक कार्यहरू गरिन्छ।
क्यामेरा सेटिङहरूसँग सम्बन्धित जुमको स्थानीय HTTP सर्भरमा कमजोरी के थियो? यसले कसरी आक्रमणकारीहरूलाई कमजोरीको शोषण गर्न अनुमति दियो?
क्यामेरा सेटिङहरूसँग सम्बन्धित जुमको स्थानीय HTTP सर्भरमा कमजोरी एक महत्वपूर्ण सुरक्षा त्रुटि थियो जसले आक्रमणकारीहरूलाई प्रणालीको शोषण गर्न र प्रयोगकर्ताहरूको क्यामेराहरूमा अनाधिकृत पहुँच प्राप्त गर्न अनुमति दियो। यो जोखिमले प्रयोगकर्ताको गोपनीयता र सुरक्षाको लागि महत्त्वपूर्ण खतरा खडा गर्यो। जोखिम जुमको स्थानीय HTTP सर्भर, जुन तथ्यबाट उत्पन्न भयो
Node.js मा प्रमाणीकरण बाइपास र स्पूफिङसँग सम्बन्धित जोखिम CVE-2018-71-60 कसरी सम्बोधन गरिएको थियो?
Node.js मा रहेको जोखिम CVE-2018-7160 प्रमाणीकरण बाइपास र स्पूफिङसँग सम्बन्धित थियो, र यसलाई Node.js अनुप्रयोगहरूको सुरक्षामा सुधार गर्ने उद्देश्यले विभिन्न उपायहरूमार्फत सम्बोधन गरिएको थियो। यो कमजोरीलाई कसरी सम्बोधन गरियो भनेर बुझ्नको लागि, पहिले यो जोखिमको प्रकृति आफैंलाई बुझ्न महत्त्वपूर्ण छ। CVE-2018-7160 त्यो एउटा जोखिम थियो
Node.js अनुप्रयोगमा जोखिम CVE-2017-14919 को शोषणको सम्भावित प्रभाव के हो?
Node.js एप्लिकेसनमा रहेको भेद्यता CVE-2017-14919 ले एप्लिकेसनको सुरक्षा र कार्यक्षमतामा महत्वपूर्ण प्रभाव पार्ने सम्भावना छ। यो कमजोरी, जसलाई "डिकम्प्रेसन बम" भेद्यता पनि भनिन्छ, 8.8.0 भन्दा पहिले Node.js संस्करणहरूमा zlib मोड्युललाई असर गर्छ। यो Node.js ले निश्चित संकुचित डाटा ह्यान्डल गर्ने तरिकामा समस्याको कारण उत्पन्न हुन्छ।
Node.js मा Vulnerability CVE-2017-14919 कसरी प्रस्तुत गरियो, र यसले अनुप्रयोगहरूमा कस्तो प्रभाव पार्यो?
HTTP/2017 कार्यान्वयनले निश्चित अनुरोधहरू ह्यान्डल गर्ने तरिकामा त्रुटिको कारण Node.js मा जोखिम CVE-14919-2 प्रस्तुत गरिएको थियो। यो कमजोरी, "http2" मोड्युल अस्वीकार सेवा (DoS) जोखिमको रूपमा पनि चिनिन्छ, प्रभावित Node.js संस्करणहरू 8.x र 9.x। यस जोखिमको प्रभाव मुख्यतया प्रभावित अनुप्रयोगहरूको उपलब्धतामा थियो, किनकि यसले अनुमति दिएको थियो।
SQL इन्जेक्सनको अवधारणा र यसलाई आक्रमणकारीहरूले कसरी शोषण गर्न सकिन्छ भनेर व्याख्या गर्नुहोस्।
SQL इंजेक्शन एक प्रकारको वेब अनुप्रयोग जोखिम हो जुन तब हुन्छ जब आक्रमणकर्ताले अनाधिकृत कार्यहरू कार्यान्वयन गर्न वा डाटाबेसबाट संवेदनशील जानकारी पुन: प्राप्त गर्न SQL क्वेरीको इनपुट प्यारामिटरहरू हेरफेर गर्न सक्षम हुन्छ। यो कमजोरी दुर्भावनापूर्ण SQL कथनहरूलाई अनुमति दिँदै, अनुप्रयोगद्वारा प्रयोगकर्ता-सप्लाई गरिएको इनपुटको अनुचित ह्यान्डलिङको कारण उत्पन्न हुन्छ।
- मा प्रकाशित Cybersecurity, EITC/IS/WASF वेब अनुप्रयोग सुरक्षा आधारभूतहरू, इंजेक्शन आक्रमण, कोड इंजेक्शन, परीक्षा समीक्षा