ช่องโหว่ Heartbleed คืออะไร และส่งผลกระทบต่อเว็บแอปพลิเคชันอย่างไร
ช่องโหว่ Heartbleed เป็นข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงซึ่งถูกค้นพบในไลบรารีซอฟต์แวร์เข้ารหัส OpenSSL ในเดือนเมษายน 2014 OpenSSL ถูกใช้อย่างกว้างขวางเพื่อรักษาความปลอดภัยการสื่อสารบนอินเทอร์เน็ต รวมถึงเว็บแอปพลิเคชัน ช่องโหว่นี้ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องในการใช้งาน OpenSSL ของส่วนขยาย Heartbeat ของ Transport Layer Security (TLS) ซึ่ง
XSS ที่สะท้อนแตกต่างจาก XSS ที่เก็บไว้อย่างไร
XSS ที่สะท้อนกลับและ XSS ที่เก็บไว้เป็นช่องโหว่ประเภท cross-site scripting (XSS) ทั้งสองประเภทที่ผู้โจมตีสามารถใช้เพื่อโจมตีเว็บแอปพลิเคชัน แม้ว่าพวกเขาจะมีความคล้ายคลึงกันอยู่บ้าง แต่ต่างกันตรงที่วิธีการส่งและจัดเก็บเพย์โหลดที่เป็นอันตราย การสะท้อน XSS หรือที่เรียกว่า XSS ที่ไม่คงอยู่หรือประเภท 1 เกิดขึ้นเมื่อเพย์โหลดที่เป็นอันตราย
เครื่องมือ Zoom ช่วยในการระบุชื่อผู้ใช้สำหรับการติดตั้ง WordPress อย่างไร
Zoom เป็นเครื่องมือที่ใช้กันอย่างแพร่หลายสำหรับการประชุมทางเว็บ แต่ผู้โจมตีสามารถใช้ประโยชน์จากการระบุชื่อผู้ใช้ในการติดตั้ง WordPress การแจงนับชื่อผู้ใช้คือกระบวนการค้นหาชื่อผู้ใช้ที่ถูกต้องสำหรับระบบเป้าหมาย ซึ่งสามารถนำไปใช้ในการโจมตีต่อไปได้ เช่น การใช้รหัสผ่านแบบดุร้ายหรือการเปิดใช้แคมเปญฟิชชิ่งที่กำหนดเป้าหมาย ในเรื่องนี้
การปลอมแปลงคำขอข้ามไซต์ (CSRF) คืออะไร และผู้โจมตีสามารถใช้ประโยชน์ได้อย่างไร
Cross-Site Request Forgery (CSRF) คือช่องโหว่ด้านความปลอดภัยบนเว็บประเภทหนึ่งที่ช่วยให้ผู้โจมตีสามารถดำเนินการที่ไม่ได้รับอนุญาตในนามของผู้ใช้ที่ตกเป็นเหยื่อได้ การโจมตีนี้เกิดขึ้นเมื่อเว็บไซต์ที่เป็นอันตรายหลอกลวงเบราว์เซอร์ของผู้ใช้ให้ส่งคำขอไปยังเว็บไซต์เป้าหมายที่เหยื่อได้รับการรับรองความถูกต้อง ซึ่งนำไปสู่การดำเนินการที่ไม่ได้ตั้งใจ
- ตีพิมพ์ใน cybersecurity, EITC/IS/WASF พื้นฐานด้านความปลอดภัยของเว็บแอปพลิเคชัน, ความปลอดภัยในการใช้งานเว็บแอพพลิเคชั่น, การรักษาความปลอดภัยเว็บแอปพลิเคชันด้วยคุณสมบัติของแพลตฟอร์มที่ทันสมัย, ทบทวนข้อสอบ
ช่องโหว่ในเซิร์ฟเวอร์ HTTP ภายในของ Zoom เกี่ยวข้องกับการตั้งค่ากล้องอย่างไร มันทำให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่ได้อย่างไร
ช่องโหว่ในเซิร์ฟเวอร์ HTTP ภายในของ Zoom ที่เกี่ยวข้องกับการตั้งค่ากล้องเป็นข้อบกพร่องด้านความปลอดภัยที่สำคัญที่ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากระบบและเข้าถึงกล้องของผู้ใช้โดยไม่ได้รับอนุญาต ช่องโหว่นี้เป็นภัยคุกคามที่สำคัญต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ ช่องโหว่ดังกล่าวเกิดจากการที่เซิร์ฟเวอร์ HTTP ภายในเครื่องของ Zoom ซึ่ง
- ตีพิมพ์ใน cybersecurity, EITC/IS/WASF พื้นฐานด้านความปลอดภัยของเว็บแอปพลิเคชัน, ความปลอดภัยของเซิร์ฟเวอร์, ความปลอดภัยของเซิร์ฟเวอร์ HTTP ภายใน, ทบทวนข้อสอบ
ช่องโหว่ CVE-2018-71-60 เกี่ยวข้องกับการบายพาสการตรวจสอบสิทธิ์และการปลอมแปลงใน Node.js อย่างไร
ช่องโหว่ CVE-2018-7160 ใน Node.js เกี่ยวข้องกับการบายพาสการตรวจสอบสิทธิ์และการปลอมแปลง และได้รับการแก้ไขผ่านชุดมาตรการที่มุ่งปรับปรุงความปลอดภัยของแอปพลิเคชัน Node.js เพื่อให้เข้าใจว่าช่องโหว่นี้ได้รับการแก้ไขอย่างไร สิ่งสำคัญคือต้องเข้าใจธรรมชาติของช่องโหว่นั้นก่อน CVE-2018-7160 เป็นช่องโหว่ที่
- ตีพิมพ์ใน cybersecurity, EITC/IS/WASF พื้นฐานด้านความปลอดภัยของเว็บแอปพลิเคชัน, การจัดการความปลอดภัยของเว็บ, การจัดการข้อกังวลด้านความปลอดภัยในโปรเจ็กต์ Node.js, ทบทวนข้อสอบ
ผลกระทบที่อาจเกิดขึ้นจากการใช้ประโยชน์จากช่องโหว่ CVE-2017-14919 ในแอปพลิเคชัน Node.js คืออะไร
ช่องโหว่ CVE-2017-14919 ในแอปพลิเคชัน Node.js มีโอกาสที่จะส่งผลกระทบอย่างมากต่อความปลอดภัยและฟังก์ชันการทำงานของแอปพลิเคชัน ช่องโหว่นี้หรือที่เรียกว่าช่องโหว่ "decompression bomb" ส่งผลกระทบต่อโมดูล zlib ในเวอร์ชัน Node.js ก่อน 8.8.0 มันเกิดขึ้นเนื่องจากปัญหาในวิธีที่ Node.js จัดการกับข้อมูลที่ถูกบีบอัดบางอย่าง
ช่องโหว่ CVE-2017-14919 ถูกนำมาใช้ใน Node.js อย่างไร และมีผลกระทบอย่างไรต่อแอปพลิเคชัน
ช่องโหว่ CVE-2017-14919 ใน Node.js เกิดขึ้นเนื่องจากข้อบกพร่องในวิธีที่การใช้ HTTP/2 จัดการกับคำขอบางอย่าง ช่องโหว่นี้หรือที่เรียกว่าช่องโหว่โมดูล "http2" Denial of Service (DoS) ได้รับผลกระทบ Node.js เวอร์ชัน 8.x และ 9.x ผลกระทบของช่องโหว่นี้ส่วนใหญ่อยู่ที่ความพร้อมใช้งานของแอปพลิเคชันที่ได้รับผลกระทบตามที่อนุญาต
อธิบายแนวคิดของการแทรก SQL และวิธีการที่ผู้โจมตีสามารถใช้ประโยชน์ได้
SQL Injection เป็นช่องโหว่ประเภทหนึ่งของเว็บแอปพลิเคชันที่เกิดขึ้นเมื่อผู้โจมตีสามารถจัดการพารามิเตอร์อินพุตของแบบสอบถาม SQL เพื่อดำเนินการที่ไม่ได้รับอนุญาตหรือดึงข้อมูลที่ละเอียดอ่อนจากฐานข้อมูล ช่องโหว่นี้เกิดขึ้นเนื่องจากการจัดการที่ไม่เหมาะสมของอินพุตที่ผู้ใช้ป้อนโดยแอปพลิเคชัน ทำให้เกิดคำสั่ง SQL ที่เป็นอันตราย
- ตีพิมพ์ใน cybersecurity, EITC/IS/WASF พื้นฐานด้านความปลอดภัยของเว็บแอปพลิเคชัน, การโจมตีด้วยการฉีด, โค้ดฉีด, ทบทวนข้อสอบ