`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

PHP-уязвимость ставит под удар пользователей Facebook, Yahoo! и Wikipedia

+11
голос

Как сообщают исследователи компании Imperva, в PHP-коде, используемом многими популярными веб-ресурсами, Facebook, Yahoo! и Wikipedia, имеется уязвимость, уже эксплуатируемая хакерами. Именно несовершенство механизма PHP Superglobal дало возможность организовать волну автоматически осуществляемых кибератак, отмечается в отчете Hacker Intelligence Initiative.

«Путем инъекции значения внутренней переменной при использовании механизма PHP Superglobal, атакующий может изменить исполнение приложения и выполнить последовательность команд для захвата управления сервером. В обнаруженной нами атаке эксплуатировались уязвимости Session Superglobal и популярного приложения баз данных PHPMyAdmin», — отметил руководитель исследовательского подразделения Imperva Таль Беэри (Tal Be’ery). «В сочетании с другими уязвимостями некоторых версий PHP, которые позволяют незащищенное хранение информации о сессиях, эта позволяет атакующему выполнять на инфицированном сервере любой код, полностью захватив управление им».

Найденная уязвимость может использоваться хакерами для самых разных целей. Она чрезвычайно опасна из-за возможности автоматизации атак и популярности PHP, который применяется более чем 80% веб-ресурсов, в том числе такими крупными как Facebook, Yahoo!, Baidu и Wikipedia. На протяжении нескольких месяцев хакеры используют данную уязвимость со все возрастающей интенсивностью. Только за последний месяц на выборке из 24 программ исследователи фиксировали на каждое приложение в среднем 144 атаки, связанных с заменой параметров Superglobal. Пиковое число попыток доступа к одной программе достигало 90 в минуту. Некоторые спланированные операции повторяются периодически уже в течение пяти месяцев, в ходе одной из них хакерам удалось скомпрометировать сервер, принадлежащий итальянскому банку.

Стратегія охолодження ЦОД для епохи AI

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT