来自 网络 2021-10-11 13:07 的文章

DDOS高防服务_防ddos防火墙_方法

DDOS高防服务_防ddos防火墙_方法

作为帮助组织开发和部署更安全的软件和应用程序的持续任务的一部分,高防cdn哪里做得好,Checkmarx安全研究团队分析了Drupal,一个开源的内容管理系统(CMS)和我们的客户使用最多的10个PHP资源(框架、库等)之一。超过一百万个网站运行在Drupal上,包括世界各地的企业和政府网站。Drupal最近发布了两个主要版本,这引起了我们研究人员的兴趣。一旦团队开始研究Drupal的两个最新版本,他们很快发现这两个版本都很容易被利用。后来,Drupal确认Drupal的每个维护版本(7.x、8.8.x、8.9.x)都可以通过相同的技术轻松地利用。这些问题是由Checkmarx安全研究团队的Dor Tumarkin发现的。Drupal承认并修补了该漏洞,并将其命名为CVE-2020-13663。更多信息可以在下面和他们的安全建议页面上找到。问题是什么?Checkmarx安全研究团队在Drupal Core中发现了一个基于文档对象模型的跨站点脚本(简称domxss)漏洞。如果web应用程序在没有进行适当清理的情况下向DOM输入数据,则可以实现这种类型的XSS攻击。在这种情况下,攻击者可以操纵他们的输入数据以在网页上包含XSS内容,例如恶意JavaScript代码,而这些代码又会被Drupal核心本身消耗掉。风险是什么?滥用此漏洞的攻击者可以接管基于Drupal的网站的管理员角色,并获得完全控制权,允许更改内容、创建恶意链接、窃取敏感或财务数据或任何其他想到的事情。Drupal分配CVE-2020-13663Drupal将我们团队发现的此漏洞的安全风险标记如下:风险:严重访问复杂性:复杂身份验证:所有/匿名用户保密影响:某些非公开数据被发布完整性影响:某些数据可以修改漏洞利用(零日影响):理论或白帽(没有公开的漏洞代码或开发文档)目标分布:所有模块配置都是可利用的披露和事件摘要当这个漏洞第一次被发现时,Checkmarx安全研究团队负责地通知Drupal它的发现。我们的团队被要求在我们披露信息后为Drupal的团队提供建议,我们很乐意这样做。在我们披露了漏洞之后,cdn国外高防,Drupal团队的紧迫感和专业精神非常显著,并且在我们披露后的一周内就提供了修复方案。根据Drupal的披露指南,为了让用户有足够的时间更新软件,Checkmarx将避免发布一份更具技术性的报告,该报告将对利用此漏洞进行60天的深入演练和概念证明。同时,我们强烈鼓励Drupal用户对推荐的更新采取行动。建议此时,Checkmarx强烈建议任何使用Drupal的人立即将正在使用的版本更新到最新版本,阿里云防御cc,购买防御ddos,其中包含对该漏洞的修复。使用Checkmarx软件组合分析(cxsa)的Checkmarx客户在运行代码库扫描时已经被自动通知更新Drupal。最后的话这种类型的研究活动是Checkmarx安全研究团队持续努力的一部分,旨在推动所有组织中软件安全实践的必要变化,以提高每个人的安全性。Checkmarx致力于分析最著名的开源软件包,以帮助开发团队发布更安全的软件,并改善他们的软件安全风险状况。我们的开源库和漏洞数据库是由Checkmarx安全研究团队开发的,它为CxSCA提供了超出NVD的风险细节、修复指南和专有漏洞。有关如何检测代码中的开放源代码风险、确定其优先级和修复这些风险的详细信息或咨询专家,请与我们联系。应用程序安全漏洞Drupal安全分析开放源代码项目开源软件SCA软件组合分析生物最新帖子埃雷兹亚龙Erez Yalon是Checkmarx安全研究小组的负责人。作为一名独立的安全研究员,高防cdn节点,他拥有丰富的防守者和攻击者经验,为我们带来了宝贵的知识和技能。Erez负责维护Checkmarx的顶级漏洞检测技术,他以前在各种编码语言方面的开发经验发挥了作用。Erez Yalon的最新帖子权限升级Meetup.com网站启用付款重定向-2020年8月3日Mozilla漂白剂中发现突变跨站点脚本(mXSS)漏洞-2020年7月8日Solidity十大常见问题——2020年5月13日