هذا الأسبوع في الأمان: نقرة واحدة ، UPnP ، أجهزة الكمبيوتر المركزية ، واستكشاف الضباب
قبل بضعة أسابيع ، تحدثنا عن المتصفحات داخل التطبيق ومشكلات الخصوصية المحتملة عند فتح محتواها. كشفت Microsoft هذا الأسبوع عن الجانب الآخر لعملة الأمان تلك - قد تتمكن JavaScript على موقع ويب تمت زيارته من التفاعل مع JS المضمن في متصفح التطبيق. تبدأ سلسلة الثغرات الأمنية بمدير رابط منشور على Android ، حيث يتم فتح جميع الروابط تلقائيًا في تطبيق TikTok. تكمن المشكلة هنا في أنه يؤدي إلى إعادة توجيه ولا يتم تصفية الروابط الداخلية داخل التطبيق. أحد هذه المخططات الداخلية له تأثير تحميل صفحة عشوائية في عرض الويب للتطبيق ، وبينما يوجد عامل تصفية يمنع تحميل المضيفين غير الموثوق بهم ، يمكن التحايل عليه بزوج من الوسائط المضمنة في URI الاستدعاء. < / ص>
بمجرد تحميل صفحة عشوائية ، تظهر أكبر مشكلة. يعرض JavaScript الذي يعمل في متصفح التطبيق أكثر من 70 طريقة لتشغيل JS على الصفحة. إذا كان رمزًا غير موثوق به ، فإنه يعطي المفاتيح التصويرية للمجال ، حيث يمكن الوصول إلى رمز المصادقة للمستخدم الحالي. يمكن الوصول إلى تحرير الحساب والوصول إلى الفيديو الخاص وتنزيل الفيديو. لحسن الحظ ، تم حل المشكلة في مارس ، بعد أقل من شهر من الكشف الخاص. ومع ذلك ، لا ينبغي التغاضي عن اختراق الحساب بنقرة واحدة. لحسن الحظ ، لم يهرب هذا المختبر قبل إصلاحه. يضرب UPnP مرة أخرى
ليس من المبالغة القول إن Universal Plug and Play (UPnP) ربما كان أخطر ميزة يتم تضمينها في أجهزة التوجيه ، مع استثناء محتمل لشبكة Wi-Fi المفتوحة افتراضيًا. أصدر QNAP تقريرًا استشاريًا آخر لبرامج الفدية يستهدف أجهزتهم ، ومرة أخرى يعتبر UPnP هو الجاني. Photo Station هو التطبيق الضعيف ، ويجب أن يتعرض للإنترنت ليتم اختراقه. وماذا تفعل UPnP؟ يعرض التطبيقات للإنترنت دون تدخل المستخدم. وقد تضمنت QNAP ، في إطار جهودها لجعل منتجات NAS الخاصة بها أكثر قابلية للاستخدام ، دعم UPnP ، ربما بشكل افتراضي في بعض الطرز. إذا كان لديك جهاز QNAP (أو حتى إذا لم يكن لديك) ، فتأكد من تعطيل UPnP على جهاز التوجيه الخاص بك ، وقم بتعطيل كل إعادة توجيه المنافذ ما لم تكن متأكدًا تمامًا مما تفعله ، واستخدم Wireguard للوصول عن بُعد. .
Retro Hacking — The IBM AS / 400
فيولا ليفان ، CC BY-SA 4.0 ، عبر ويكيميديا كومنز إذا كنت ترغب في اختراق الإرتداد ، فإن Silent Signal's [pz] قد قمت بتغطيته. على الرغم من أنك لا ترى واجهات واجهة IBM AS / 400 الأمامية في المتاجر كما اعتدت ، إلا أن هذه الأجهزة الموقرة لا تزال تعمل في النهاية الخلفية للعديد من الشركات. كان IBM AS / 400 هو حل IBM للمشكلة في أوائل الثمانينيات للعديد من خطوط الإنتاج المماثلة. لقد استبدلت منتجات System / 36 و System / 38 واستندت إلى جهد لنقل برنامج System / 36 إلى System / 38. استخدم الحل الجديد واجهة التكنولوجيا المستقلة للآلة (TIMI) كطبقة وسطى جمعت البرامج المستهدفة . قام نظام التشغيل الفعلي بترجمة وقت التشغيل إلى رمز الآلة الخاص بـ ...
قبل بضعة أسابيع ، تحدثنا عن المتصفحات داخل التطبيق ومشكلات الخصوصية المحتملة عند فتح محتواها. كشفت Microsoft هذا الأسبوع عن الجانب الآخر لعملة الأمان تلك - قد تتمكن JavaScript على موقع ويب تمت زيارته من التفاعل مع JS المضمن في متصفح التطبيق. تبدأ سلسلة الثغرات الأمنية بمدير رابط منشور على Android ، حيث يتم فتح جميع الروابط تلقائيًا في تطبيق TikTok. تكمن المشكلة هنا في أنه يؤدي إلى إعادة توجيه ولا يتم تصفية الروابط الداخلية داخل التطبيق. أحد هذه المخططات الداخلية له تأثير تحميل صفحة عشوائية في عرض الويب للتطبيق ، وبينما يوجد عامل تصفية يمنع تحميل المضيفين غير الموثوق بهم ، يمكن التحايل عليه بزوج من الوسائط المضمنة في URI الاستدعاء. < / ص>
بمجرد تحميل صفحة عشوائية ، تظهر أكبر مشكلة. يعرض JavaScript الذي يعمل في متصفح التطبيق أكثر من 70 طريقة لتشغيل JS على الصفحة. إذا كان رمزًا غير موثوق به ، فإنه يعطي المفاتيح التصويرية للمجال ، حيث يمكن الوصول إلى رمز المصادقة للمستخدم الحالي. يمكن الوصول إلى تحرير الحساب والوصول إلى الفيديو الخاص وتنزيل الفيديو. لحسن الحظ ، تم حل المشكلة في مارس ، بعد أقل من شهر من الكشف الخاص. ومع ذلك ، لا ينبغي التغاضي عن اختراق الحساب بنقرة واحدة. لحسن الحظ ، لم يهرب هذا المختبر قبل إصلاحه. يضرب UPnP مرة أخرى
ليس من المبالغة القول إن Universal Plug and Play (UPnP) ربما كان أخطر ميزة يتم تضمينها في أجهزة التوجيه ، مع استثناء محتمل لشبكة Wi-Fi المفتوحة افتراضيًا. أصدر QNAP تقريرًا استشاريًا آخر لبرامج الفدية يستهدف أجهزتهم ، ومرة أخرى يعتبر UPnP هو الجاني. Photo Station هو التطبيق الضعيف ، ويجب أن يتعرض للإنترنت ليتم اختراقه. وماذا تفعل UPnP؟ يعرض التطبيقات للإنترنت دون تدخل المستخدم. وقد تضمنت QNAP ، في إطار جهودها لجعل منتجات NAS الخاصة بها أكثر قابلية للاستخدام ، دعم UPnP ، ربما بشكل افتراضي في بعض الطرز. إذا كان لديك جهاز QNAP (أو حتى إذا لم يكن لديك) ، فتأكد من تعطيل UPnP على جهاز التوجيه الخاص بك ، وقم بتعطيل كل إعادة توجيه المنافذ ما لم تكن متأكدًا تمامًا مما تفعله ، واستخدم Wireguard للوصول عن بُعد. .
Retro Hacking — The IBM AS / 400
فيولا ليفان ، CC BY-SA 4.0 ، عبر ويكيميديا كومنز إذا كنت ترغب في اختراق الإرتداد ، فإن Silent Signal's [pz] قد قمت بتغطيته. على الرغم من أنك لا ترى واجهات واجهة IBM AS / 400 الأمامية في المتاجر كما اعتدت ، إلا أن هذه الأجهزة الموقرة لا تزال تعمل في النهاية الخلفية للعديد من الشركات. كان IBM AS / 400 هو حل IBM للمشكلة في أوائل الثمانينيات للعديد من خطوط الإنتاج المماثلة. لقد استبدلت منتجات System / 36 و System / 38 واستندت إلى جهد لنقل برنامج System / 36 إلى System / 38. استخدم الحل الجديد واجهة التكنولوجيا المستقلة للآلة (TIMI) كطبقة وسطى جمعت البرامج المستهدفة . قام نظام التشغيل الفعلي بترجمة وقت التشغيل إلى رمز الآلة الخاص بـ ...
What's Your Reaction?
