Akademici otkrili 30 ranjivosti s uploadom datoteka u 23 open source web aplikacije

Akademici otkrili 30 ranjivosti s uploadom datoteka u 23 open source web aplikacije

Foto: DepositPhotos

Južnokorejski akademici su korištenjem automatiziranih alata otkrili 30 ranjivosti u mehanizmima postavljanja datoteka kod 23 open source web aplikacije, foruma, “store buildera” i sustava za upravljanje sadržajem (CMS).

Dakle, riječ je o mehanizmu koji služi za upload i hakeri ih često koriste kako bi preko njihovih ranjivosti mogli "zaraziti" server žrtve ili žrtava. Zato se često provjeravaju upravo ti mehanizmi i iz tog konteksta ne čudi da su akademici pronašli toliki broj ranjivosti.

Ono što hakeri mogu, ukoliko iskoriste ranjivost, jest smanjiti ili potpuno anulirati sigurnosne postavke, napraviti "backdoor" ili omogućiti potpunu kontrolu nad serverom. Tako nešto nije bezazleno i zato su saznanja iz Južne Koreje itekako značajna. No, još je značajniji način kojim se stiglo do ovih sigurnosnih propusta.

Naime, akademici su koristi FUSE, novi automatizirani alat za pronalazak neovlaštenih postavljanja datoteka (UFU - unrestricted file upload) i postavljanje neovlaštenih izvršnih datoteka (UEFU - unrestricted executable file upload) u PHP aplikacije. Prije FUSE, akademici su analizirali otprije postojeće bugove te identificirali osam najčešćih, kao i tehnike kojima se koriste.

Uvrstili su svih osam u FUSE te mu pridodali pet novih varijacija. Nakon toga su izabrali 33 najpopularnije web aplikacije, što uključuje forume, CMS i sve navedeno iz uvoda, pa krenuli tražiti ranjivosti. Naravno, to su činili na način da bi pokušali uploadati zaraženi file u sustav. Pritom su koristili razne datoteke - PHP, JS, HTML, XHTML...

Samo deset je uspjelo odoliti napadima, a 23 je "palo". Neki od zvučnijih su WordPress, Concrete5, Composr, SilverStripe i ZenCart. Također, čim su to izveli, stručnjaci su obavijestili odgovorne i ponukali ih da izvedu bolju zaštitu, odnosno, da "zakrpaju" postojeću ranjivost.

Samo testiranje obavljeno je u veljači prošle godine, a južnokorejski akademici navode da neki od testiranih ni nakon godinu dana nisu ispravili greške koje imaju u mehanizmu.

Još iz kategorije

Google Duo podigao grupni video limit na 12 ljudi

Google Duo podigao grupni video limit na 12 ljudi

05.04.2020. komentiraj

Pandemija koronavirusa zadržala je oko dvije milijarde ljudi diljem svijeta u njihovim domovima, zbog čega se ponajviše okreću internetu da bi se informirali, zabavili te ostali u kontaktu s bližnjima, prijateljima, kolegama... Upravo zato se Google za Duo uslugu odlučio povećati limit u grupnim porukama.

Složen sustav e-Propusnica podignut u samo nekoliko dana

Složen sustav e-Propusnica podignut u samo nekoliko dana

04.04.2020. komentiraj

Jedna od usluga države e-Propusnice nastala je u samo nekoliko dana i profunkcionirala u ranim jutarnjim satima 2. travnja ove godine. Prema najnovijim podacima koji su izneseni danas u 14 sati na pressici stožera Civilne zaštite izdano je 382.191 e-Propusnica i dosad je odbijeno 9.625 zahtjeva za e-Propusnicama.

Broj e-Propusnica dosegao 370 tisuća

Broj e-Propusnica dosegao 370 tisuća

04.04.2020. komentiraj

Najnovije brojke govore kako je dosad izdano oko 370 tisuća propusnica što je zaista iznimno velik broj. Jučer je, kako smo objavili ministar unutarnjih poslova u 14 sati istaknuo da je broj propusnica 192.262. U večernjim satima ministar uprave Ivan Malenica da e-propusnica izdano više od 306 tisuća. Ministar uprave Malenica tada je potvrdio kako je odbijeno čak 7 tisuća zahtjeva.