Akademici otkrili 30 ranjivosti s uploadom datoteka u 23 open source web aplikacije

Akademici otkrili 30 ranjivosti s uploadom datoteka u 23 open source web aplikacije

Foto: DepositPhotos

Južnokorejski akademici su korištenjem automatiziranih alata otkrili 30 ranjivosti u mehanizmima postavljanja datoteka kod 23 open source web aplikacije, foruma, “store buildera” i sustava za upravljanje sadržajem (CMS).

Dakle, riječ je o mehanizmu koji služi za upload i hakeri ih često koriste kako bi preko njihovih ranjivosti mogli "zaraziti" server žrtve ili žrtava. Zato se često provjeravaju upravo ti mehanizmi i iz tog konteksta ne čudi da su akademici pronašli toliki broj ranjivosti.

Ono što hakeri mogu, ukoliko iskoriste ranjivost, jest smanjiti ili potpuno anulirati sigurnosne postavke, napraviti "backdoor" ili omogućiti potpunu kontrolu nad serverom. Tako nešto nije bezazleno i zato su saznanja iz Južne Koreje itekako značajna. No, još je značajniji način kojim se stiglo do ovih sigurnosnih propusta.

Naime, akademici su koristi FUSE, novi automatizirani alat za pronalazak neovlaštenih postavljanja datoteka (UFU - unrestricted file upload) i postavljanje neovlaštenih izvršnih datoteka (UEFU - unrestricted executable file upload) u PHP aplikacije. Prije FUSE, akademici su analizirali otprije postojeće bugove te identificirali osam najčešćih, kao i tehnike kojima se koriste.

Uvrstili su svih osam u FUSE te mu pridodali pet novih varijacija. Nakon toga su izabrali 33 najpopularnije web aplikacije, što uključuje forume, CMS i sve navedeno iz uvoda, pa krenuli tražiti ranjivosti. Naravno, to su činili na način da bi pokušali uploadati zaraženi file u sustav. Pritom su koristili razne datoteke - PHP, JS, HTML, XHTML...

Samo deset je uspjelo odoliti napadima, a 23 je "palo". Neki od zvučnijih su WordPress, Concrete5, Composr, SilverStripe i ZenCart. Također, čim su to izveli, stručnjaci su obavijestili odgovorne i ponukali ih da izvedu bolju zaštitu, odnosno, da "zakrpaju" postojeću ranjivost.

Samo testiranje obavljeno je u veljači prošle godine, a južnokorejski akademici navode da neki od testiranih ni nakon godinu dana nisu ispravili greške koje imaju u mehanizmu.

Još iz kategorije

Samouništavajuće poruke za sve chatove su sad dostupne i u Hrvatskoj

Samouništavajuće poruke za sve chatove su sad dostupne i u Hrvatskoj

07.07.2020. komentiraj

Rakuten Viber najavio je skorašnje uvođenje samouništavajućih poruka u sve oblike chata. Ta je vrsta poruka dosada bila dostupna samo u tajnim chatovima, a uskoro će je korisnici moći koristiti u svim oblicima chata. Jednostavno će postaviti željeno vrijeme nakon kojeg će se poruka sama izbrisati, i to nebitno radi li se o tekstu, fotografiji, video ili drugoj vrsti datoteke.

Facebook lansira novu kampanju koja pomaže u prepoznavanju lažnih vijesti

Facebook lansira novu kampanju koja pomaže u prepoznavanju lažnih vijesti

07.07.2020. komentiraj

Facebook je više nego ikad usmjeren na povezivanje ljudi s relevantnim i točnim izvorima informacija i prikazivanje što manje dezinformacija, osobito u vezi Covida-19, tvrde u ovom internetskom gigantu i dodaju da su dosad uložili značajna sredstva u uklanjanje korisničkih računa i sadržaja koji krše njihove uvjete korištenja i pravila oglašavanja, smanjenje širenja lažnih vijesti i informiranje ljudi pružajući im širi kontekst objava koje im se prikazuju – kako bi ljudi mogli odlučiti o tome što će čitati, čemu će vjerovati i što će podijeliti.

Elektronički zahtjev za karticu vozača eTahograf nova je usluga na servisu e-Građani

Elektronički zahtjev za karticu vozača eTahograf nova je usluga na servisu e-Građani

06.07.2020. komentiraj

Od sada vozači mogu podnijeti zahtjev za karticu za pametni tahograf i kroz sustav e-Građani. Pružatelj usluge eTahograf je AKD kao nositelj javne ovlasti za poslove izdavanja tahografskih kartica. Nova usluga eTahograf omogućava fizičkim osobama – vozačima podnošenje elektroničkog zahtjeva za izdavanje kartice koja služi za identifikaciju vozača i omogućuje pohranu podataka o njegovim aktivnostima. Zahtjev za izdavanje kartice vozača putem usluge eTahograf može podnijeti hrvatski državljanin koji posjeduje važeću vozačku dozvolu minimalno B kategorije izdanu u RH, a omogućeno je podnošenje sljedećih vrsta zahtjeva: prvi zahtjev, obnavljanje (produljenje) zbog isteka roka valjanosti i nadomještanje zbog gubitka ili krađe.