دسته: امنیت وب

راهنمای Log4Shell برای همه

اگر در زمینه امنیت کار می‌کنید، احتمالاً روزهای اخیر را درگیر رسیدگی فوری به آسیب پذیری Log4Shell با شناسه (CVE-2021-44228) بوده‌اید؛ مثلاً به دنبال یافتن موارد استفاده از Log4j در محیط خود گشته‌اید و یا از وندورها (vendors) در مورد راهکارشان پرس‌وجو کرده‌اید. به احتمال زیاد درباره‌ی پیامدها و اقدامات لازم نیز مطالعه کرده‌اید. این […]

ابزار جدید فیس‌بوک برای مقابله با حملات SSRF

فیس‌بوک ابزار جدیدی توسعه داده است که با استفاده از آن می‌توان آسیب‌پذیری‌های SSRF را شناسایی کرد. فیس‌بوک اعلام کرد ابزار جدیدی به نام داشبورد SSRF یا SSRF Dashboard طراحی کرده است که کارشناسان امنیت با استفاده از آن می‌توانند آسیب‌پذیری‌های SSRF را در اپلیکیشن خود شناسایی کنند. تولید ریکوئست‌های جعلی سمت سرور یا همان […]

هشدار کارشناسان درباره‌ی کشف تبلیغات مخرب در افزونه‌ی ادبلاک کروم

محققان درباره‌ی تزریق تبلیغات (Ad injection) مخرب توسط یک افزونه‌ی ادبلاک گوگل کروم در صفحات جست‌وجوی گوگل هشدار داده‌اند. محققان شرکت ایمپروا (Imperva) کمپین مخرب و گمراه‌کننده‌ی جدیدی در افزونه‌ی ادبلاک AllBlock شناسایی کرده‌اند. این افزونه کاربران تعداد زیادی از وب‌سایت‌های بزرگ را در مرورگرهای کروم و اپرا هدف قرار می‌دهد. در تزریق تبلیغات (Ad […]

اخطار گوگل درباره‌ی چهار آسیب‌پذیری با اهمیت بالا در کروم ویندوز، مک و لینوکس

گوگل آپدیت‌های امنیتی جدیدی برای چهار آسیب‌پذیری با اهمیت بالا در کروم ویندوز، مک و لینوکس منتشر کرده است. جدی‌ترین آسیب‌پذیری در بین این چهار آسیب‌پذیری، با شناسه CVE-2021-37977 شناخته می‌شود و نوعی آسیب‌پذیری after-free در Garbage Collection است که می‌تواند به اجرای کد ناخواسته‌ (ACE) بینجامد. گزارش این نقص را محققی ناشناس ارائه داده […]

نقص امنیتی موجود در فایروال وب‌اپلیکیشن Fortiweb شرکت Fortinet

شرکت فورتی‌نت اخیرا یک آسیب‌پذیری با شدت بالا و بحرانی اعلام کرده است که بر فایروال وب‌اپلیکیشن FortiWeb تاثیر می‌گذارد. این آسیب‌پذیری می‌تواند توسط مهاجمان از راه دور برای اجرای دستورات دلخواه مورد سواستفاده قرار گیرد. این آسیب‌پذیری با شناسه CVE-2021-22123 شناخته می‌شود و درحقیقت مهاجم تاییده شده بصورت از راه دور می‌تواند از آن […]

چگونه از حمله CSRF جلوگیری کنیم؟

حملات CSRF یا XSRF، یکی از مهم‌ترین حملات وب هستند که در صورت موفق‌شدن به مهاجم اجازه می‌دهند در یک وب‌اپلیکیشن، تمام اقداماتی را که کاربر قربانی قادر به انجام آن‌هاست، با تمام مجوزها و سطح دسترسی قربانی انجام دهند. راه‌های مختلفی برای جلوگیری از حملات CSRF وجود دارد، در این مقاله دو راه اصلی […]

آسیب‌پذیری CSRF چیست؟

در این مقاله می‌آموزیم که آسیب‌پذیری CSRF (کوتاه‌شده‌ی Cross-Site Request Forgery یا جعل درخواست میان‌وبگاهی) چیست؟ چند مورد از نمونه‌های رایج آسیب‌پذیری‌های CSRF را تشریح می‌کنیم، و نحوه جلوگیری از حملات CSRF را توضیح می‌دهیم. جواب سوال خود را پیدا کنید: CSRF چیست؟ دامنه تاثیرات یک حمله CSRF چیست؟ حمله CSRF چگونه کار می‌کند؟ نحوه […]

SOP چیست؟

سیاست مبدأ مشترک، Same Origin Policy یا به اختصار SOP، مکانیزمی امنیتی در مرورگررهای وب است که هدف آن جلوگیری از حمله‌کردن وبسایت‌ها به یکدیگر است. سیاست SOP اجازه نمی‌دهد اسکریپت‌های یک مبدأ (Origin)، به داده‌های یک مبدأ دیگر دسترسی داشته باشند. مبدأ یا Origin تشکیل شده از اسکیم URI، دامنه و شماره پورت. برای […]

حمله DOS چیست؟

اگر با مفاهیم امنیت شبکه آشنایی داشته باشید، اسم حمله DoS و DDoS به گوشتان خورده است. اما حملات داس و دیداس چه نوع حملاتی هستند و چگونه به شبکه آسیب می‌زنند؟ تفاوت حمله‌های DoS و DDoS در چیست و برای مقابله با این حملات چه باید کرد؟ این‌ها سوالاتی است که با مطالعه این […]

باگ بانتی ۳۰۰ هزار دلاری برای اکسپلویت‌های RCE وردپرس

شرکت Zerodium که در زمینه‌ی خریدوفروش آسیب‌پذیری‌ها و اکسپلویت‌های زیرو-دی فعالیت می‌کند، مبالغ پرداختی خود در ازای اکسپلویت‌های سیستم مدیریت محتوای وردپرس که بتوانند برای اجرای کد از راه دور (RCE) استفاده شوند، سه‌برابر کرده است. بیشتر بخوانید: آسیب‌پذیری چیست؟ اکسپلویت چیست؟ دانلود مستند روزهای صفر زیرودیوم در توییتر خود نوشت که به مدت محدود، […]
عنوان ۱ از ۳۱۲۳ »