بازگشت   پی سی سیتی > کامپیوتر اینترنت و شبکه Computer internet > زبان های برنامه نویسی Programming

زبان های برنامه نویسی Programming بحث در مورد زبانهای مختلف برنامه نویسی

پاسخ
 
ابزارهای موضوع نحوه نمایش
  #1  
قدیمی 09-21-2013
دانه کولانه آواتار ها
دانه کولانه دانه کولانه آنلاین نیست.
    مدیر کل سایت
        
کوروش نعلینی
 
تاریخ عضویت: Jun 2007
محل سکونت: کرمانشاه
نوشته ها: 12,700
سپاسها: : 1,382

7,486 سپاس در 1,899 نوشته ایشان در یکماه اخیر
دانه کولانه به Yahoo ارسال پیام
پیش فرض نقص امنیتی PHP در قسمت متغيرهاي SupperGlobal بر روي سرورهاي PHPMyAdmin

نقص امنیتی PHP در قسمت متغيرهاي SupperGlobal بر روي سرورهاي PHPMyAdmin
شركت امنیتی Imperva هشدار داد كه آسیب‌پذیری متغیر SuperGlobal در PHP می‌تواند به هكر اجازه دهد كد دلخواه خود را بر روی سرور اجرا كننده PHPMyAdmin اجرا نماید.


بنا بر اظهارات محققان امنیتی، هكرها در حال تلاش برای سوء استفاده از یك نقص امنیتی در كد PHP هستند كه توسط اغلب وب‌سایت‌های مهم مورد استفاده قرار می‌گیرد.

شركت امنیتی Imperva ادعا كرده است كه هكرها در حال ایجاد كمپین برای سوء استفاده از ضعف‌های متغیر SuperGlobal در PHPهستند تا موجی از حملات خودكار را سازماندهی نمایند كه می‌تواند 80 درصد از وب‌سایت‌های جهان را تحت تأثیر قرار دهد.

گزارش این شركت به جزئیات این مسأله كه چرا PHP SuperGlobal به یك هدف اولیه برای هكرها تبدیل شده است پرداخته است.

یك آسیب‌پذیری به مجرم سایبری اجازه می‌دهد كه یك رشته پرس و جوی خرابكار ایجاد نماید كه مقادیری را در _SESSION در متغیرSuperGlobal از بین می‌برد. یك نقص امنیتی دیگر نیز در مكانیزم سریالیزیشن PHP كشف شده است كه اشیای با ساختار پیچیده ماننده داده‌های session را به شكل یك متن ساده نمایش می‌دهد.

تركیب این دو آسیب‌پذیری می‌تواند به یك هكر اجازه دهد كه كد دلخواه خود را بر روی سرور اجرا كننده PHPMyAdmin اجرا نماید. مهاجم می‌تواند این دو آسیب‌پذیری مجزا را تركیب كند. آسیب‌پذیری اول به مهاجم اجازه می‌دهد مقداری را به session تزریق نماید. آسیب‌پذیری دوم نیز به مهاجم اجازه می‌دهد یك رشته دلخواه را برای تزریق یك شیء خرابكار PMA_config به session سریال شده ایجاد كند. این نقص امنیتی می‌تواند به مهاجم اجازه دهد كه كنترل سرور را در اختیار بگیرد.

از آنجایی كه میزبان‌هایی كه مورد سوء استفاده قرار می‌گیرند می‌توانند به عنوان عضو بت‌نت برای حمله به سرورهای دیگر مورد استفاده قرار گیرند، سوء استفاده از برنامه‌های PHP می‌تواند امنیت عمومی و سلامت كلی وب را تحت تأثیر قرار دهد.

تأثیر این حملات می‌تواند بسیار زیاد باشد، چرا كه پلتفورم PHP مشهورترین پلتفورم توسعه برنامه‌های وب است و بیش از 80 درصد از وب‌سایت‌ها از جمله فیس‌بوك و ویكی‌پدیا از آن بهره می‌برند.

__________________
مرا سر نهان گر شود زير سنگ -- از آن به كه نامم بر آيد به ننگ
به نام نكو گر بميــرم رواست -- مرا نام بايد كه تن مرگ راست



پاسخ با نقل قول
  #2  
قدیمی 09-21-2013
دانه کولانه آواتار ها
دانه کولانه دانه کولانه آنلاین نیست.
    مدیر کل سایت
        
کوروش نعلینی
 
تاریخ عضویت: Jun 2007
محل سکونت: کرمانشاه
نوشته ها: 12,700
سپاسها: : 1,382

7,486 سپاس در 1,899 نوشته ایشان در یکماه اخیر
دانه کولانه به Yahoo ارسال پیام
پیش فرض Imperva calls for removal of PHP 'SuperGlobal' feature

مقاله اصلي IMPERVA رو ميتونين از اينجا دانلود كنين : report out this week


Research company Imperva is calling for the removal of a feature in PHP, citing that it opens the door for attackers to turn servers across the globe into their own botnet army.

In a report (PDF), the company takes particular issue with the use of PHP's "SuperGlobal" parameters and how they can be abused.

The vulnerability described in the report is not particularly new, and requires chaining together vulnerabilities CVE-2011-2505 and CVE-2010-3065 in order to execute arbitrary code on a server, with CVE-2011-2505 first disclosed in July 2011 and CVE-2010-3065 in August 2010.

Combined, they allow attackers to modify the SESSION SuperGlobal variable, and write data to a local file on the server. This file will be later parsed and executed by PhpMyAdmin, a popular web-based tool used to manage MySQL databases, allowing the attacker to execute any code they wish.

However, the company considers the use of SuperGlobal parameters, which enable both vulnerabilities, to be overpowered, and is advocating for their removal.

"SuperGlobal parameters in requests should be blocked — since there is no reason for these parameters to be present in requests, they should be banned," the report says.

__________________
مرا سر نهان گر شود زير سنگ -- از آن به كه نامم بر آيد به ننگ
به نام نكو گر بميــرم رواست -- مرا نام بايد كه تن مرگ راست



پاسخ با نقل قول
پاسخ


کاربران در حال دیدن موضوع: 1 نفر (0 عضو و 1 مهمان)
 
ابزارهای موضوع
نحوه نمایش

مجوز های ارسال و ویرایش
شما نمیتوانید موضوع جدیدی ارسال کنید
شما امکان ارسال پاسخ را ندارید
شما نمیتوانید فایل پیوست در پست خود ضمیمه کنید
شما نمیتوانید پست های خود را ویرایش کنید

BB code is فعال
شکلک ها فعال است
کد [IMG] فعال است
اچ تی ام ال غیر فعال می باشد



اکنون ساعت 04:56 PM برپایه ساعت جهانی (GMT - گرینویچ) +3.5 می باشد.



Powered by vBulletin® Version 3.8.4 Copyright , Jelsoft Enterprices مدیریت توسط کورش نعلینی
استفاده از مطالب پی سی سیتی بدون ذکر منبع هم پیگرد قانونی ندارد!! (این دیگه به انصاف خودتونه !!)
(اگر مطلبی از شما در سایت ما بدون ذکر نامتان استفاده شده مارا خبر کنید تا آنرا اصلاح کنیم)


سایت دبیرستان وابسته به دانشگاه رازی کرمانشاه: کلیک کنید




  پیدا کردن مطالب قبلی سایت توسط گوگل برای جلوگیری از ارسال تکراری آنها