Ano ang kahinaan ng Heartbleed at paano ito nakakaapekto sa mga web application?
Ang kahinaan ng Heartbleed ay isang malubhang depekto sa seguridad na natuklasan sa OpenSSL cryptographic software library noong Abril 2014. Ang OpenSSL ay malawakang ginagamit upang ma-secure ang komunikasyon sa internet, kabilang ang mga web application. Ang kahinaang ito ay nagbibigay-daan sa isang umaatake na samantalahin ang isang depekto sa pagpapatupad ng OpenSSL ng Transport Layer Security (TLS) na extension ng heartbeat, na
Paano naiiba ang sinasalamin na XSS sa nakaimbak na XSS?
Ang sinasalamin na XSS at nakaimbak na XSS ay parehong uri ng mga kahinaan sa cross-site scripting (XSS) na maaaring samantalahin ng mga umaatake upang ikompromiso ang mga web application. Bagama't may ilang pagkakatulad sila, nagkakaiba sila sa kung paano inihahatid at iniimbak ang nakakahamak na payload. Ang sinasalamin na XSS, na kilala rin bilang non-persistent o type 1 XSS, ay nangyayari kapag ang nakakahamak na payload ay
- Inilathala sa Cybersecurity, EITC/IS/WAPT Web Applications Penetration Testing, Pag-script ng cross-site, XSS - nakalarawan, nakaimbak at DOM, Pagsusuri sa pagsusulit
Paano nakakatulong ang tool na Zoom sa enumeration ng username para sa mga pag-install ng WordPress?
Ang Zoom ay isang malawakang ginagamit na tool para sa web conferencing, ngunit maaari rin itong magamit ng mga umaatake para sa pag-enumeration ng username sa mga pag-install ng WordPress. Ang enumeration ng username ay ang proseso ng pagtuklas ng mga wastong username para sa isang target na system, na maaaring magamit sa karagdagang pag-atake gaya ng mga malupit na password o paglulunsad ng mga naka-target na kampanya sa phishing. Dito sa
Ano ang cross-site request forgery (CSRF) at paano ito mapagsasamantalahan ng mga umaatake?
Ang Cross-Site Request Forgery (CSRF) ay isang uri ng kahinaan sa seguridad sa web na nagbibigay-daan sa isang attacker na magsagawa ng mga hindi awtorisadong aksyon sa ngalan ng isang biktimang user. Nangyayari ang pag-atake na ito kapag nililinlang ng isang nakakahamak na website ang browser ng isang user na humiling sa isang target na website kung saan napatotohanan ang biktima, na humahantong sa mga hindi sinasadyang pagkilos na ginagawa
- Inilathala sa Cybersecurity, EITC/IS/WASF Web Applications Security Fundamentals, Praktikal na seguridad ng mga web application, Pag-secure ng mga web application gamit ang mga modernong feature ng platform, Pagsusuri sa pagsusulit
Ano ang kahinaan sa lokal na HTTP server ng Zoom na nauugnay sa mga setting ng camera? Paano nito pinahintulutan ang mga umaatake na samantalahin ang kahinaan?
Ang kahinaan sa lokal na HTTP server ng Zoom na nauugnay sa mga setting ng camera ay isang kritikal na depekto sa seguridad na nagpapahintulot sa mga umaatake na pagsamantalahan ang system at makakuha ng hindi awtorisadong pag-access sa mga camera ng mga user. Ang kahinaan na ito ay nagdulot ng malaking banta sa privacy at seguridad ng user. Ang kahinaan ay nagmula sa katotohanan na ang lokal na HTTP server ng Zoom, na
- Inilathala sa Cybersecurity, EITC/IS/WASF Web Applications Security Fundamentals, Seguridad ng server, Seguridad ng lokal na HTTP server, Pagsusuri sa pagsusulit
Paano nauugnay ang vulnerability CVE-2018-71-60 sa authentication bypass at spoofing sa Node.js?
Ang kahinaan na CVE-2018-7160 sa Node.js ay nauugnay sa authentication bypass at spoofing, at natugunan ito sa pamamagitan ng isang serye ng mga hakbang na naglalayong pahusayin ang seguridad ng mga application ng Node.js. Upang maunawaan kung paano natugunan ang kahinaan na ito, mahalagang maunawaan muna ang katangian ng mismong kahinaan. Ang CVE-2018-7160 ay isang kahinaan na
- Inilathala sa Cybersecurity, EITC/IS/WASF Web Applications Security Fundamentals, Pamamahala ng seguridad sa web, Pamamahala ng mga alalahanin sa seguridad sa proyekto ng Node.js, Pagsusuri sa pagsusulit
Ano ang potensyal na epekto ng pagsasamantala sa kahinaan CVE-2017-14919 sa isang Node.js application?
Ang kahinaan na CVE-2017-14919 sa isang Node.js application ay may potensyal na magdulot ng malaking epekto sa seguridad at functionality ng application. Ang kahinaan na ito, na kilala rin bilang ang "decompression bomb" na kahinaan, ay nakakaapekto sa zlib module sa mga bersyon ng Node.js bago ang 8.8.0. Lumilitaw ito dahil sa isang isyu sa paraan ng paghawak ng Node.js sa ilang partikular na naka-compress na data.
- Inilathala sa Cybersecurity, EITC/IS/WASF Web Applications Security Fundamentals, Pamamahala ng seguridad sa web, Pamamahala ng mga alalahanin sa seguridad sa proyekto ng Node.js, Pagsusuri sa pagsusulit
Paano ipinakilala ang kahinaan na CVE-2017-14919 sa Node.js, at ano ang epekto nito sa mga application?
Ang kahinaan na CVE-2017-14919 sa Node.js ay ipinakilala dahil sa isang depekto sa paraan ng paghawak ng pagpapatupad ng HTTP/2 sa ilang partikular na kahilingan. Ang kahinaang ito, na kilala rin bilang ang "http2" module na kahinaan ng Denial of Service (DoS), ay nakaapekto sa mga bersyon ng Node.js na 8.x at 9.x. Ang epekto ng kahinaang ito ay pangunahin sa pagkakaroon ng mga apektadong aplikasyon, gaya ng pinapayagan nito
- Inilathala sa Cybersecurity, EITC/IS/WASF Web Applications Security Fundamentals, Pamamahala ng seguridad sa web, Pamamahala ng mga alalahanin sa seguridad sa proyekto ng Node.js, Pagsusuri sa pagsusulit
Ipaliwanag ang konsepto ng SQL injection at kung paano ito magagamit ng mga umaatake.
Ang SQL injection ay isang uri ng kahinaan sa web application na nangyayari kapag ang isang attacker ay nagagawang manipulahin ang input parameters ng isang SQL query upang magsagawa ng mga hindi awtorisadong aksyon o makuha ang sensitibong impormasyon mula sa isang database. Ang kahinaan na ito ay lumitaw dahil sa hindi wastong pangangasiwa ng input na ibinigay ng user ng application, na nagpapahintulot sa mga malisyosong SQL statement.
- Inilathala sa Cybersecurity, EITC/IS/WASF Web Applications Security Fundamentals, Pag-atake ng iniksyon, Iniksyon ng code, Pagsusuri sa pagsusulit