বাড়ি Securitywatch চারপাশে এত পুরানো বাগ রয়েছে, শূন্য-দিন নিয়ে কেন বিরক্ত করবেন?

চারপাশে এত পুরানো বাগ রয়েছে, শূন্য-দিন নিয়ে কেন বিরক্ত করবেন?

ভিডিও: পাগল আর পাগলী রোমান্টিক কথা1 (নভেম্বর 2024)

ভিডিও: পাগল আর পাগলী রোমান্টিক কথা1 (নভেম্বর 2024)
Anonim

শূন্য-দিনের দুর্বলতা এবং অত্যন্ত পরিশীলিত, লক্ষ্যবস্তু আক্রমণগুলির উপর উদ্রেক করবেন না। আক্রমণকারীরা ওয়েব অ্যাপ্লিকেশনগুলিতে বয়স্ক, জ্ঞাত ত্রুটিগুলি কাজে লাগানোর সম্ভাবনা বেশি তাই এর পরিবর্তে বেসিক প্যাচিং এবং সুরক্ষা হাইজিনের দিকে মনোনিবেশ করুন।

সিকিউরিটি ওয়াচকে ইম্পেরভা-র পরিচালক, ব্যারি শ্টেইম্যান, সিকিউরিটি ওয়াচকে বলেছেন, ২০১০ সালের দুর্বলতা এবং ২০০৯ সালে অন্য একটি এপ্রিলের মধ্যে সবচেয়ে বেশি লক্ষ্যযুক্ত ওয়েব দুর্বলতার মধ্যে ছিল। তাদের বয়স সত্ত্বেও, ব্যক্তিগত এবং শিল্প উভয় আক্রমণকারীই এই দুর্বলতাগুলিকে টার্গেট করে চলেছে, কারণ এই আক্রমণ প্রচারগুলি "লাভজনক"। এই আক্রমণটির জন্য ব্যয়বহুল শূন্য-দিনের শোষণ বা বিকাশের দরকার নেই যে "পুরানোগুলি যেমন ব্যাপকভাবে পাওয়া যায় তেমন কাজও হয়, " শ্টেইম্যান বলেছিলেন।

আক্রমণকারীরা বুঝতে পারে যে পুরানো দুর্বলতাগুলি হ'ল ওয়েব অ্যাপ্লিকেশন সুরক্ষার নিম্ন-ঝুলন্ত ফল। আক্রমণকারীদের প্রয়োজন হলে পরিশীলিত হতে পারে এবং জটিল প্রচারাভিযানের কারুকার্য করার জন্য তাদের কাছে সরঞ্জাম রয়েছে। লোকেরা ওয়েব অ্যাপ্লিকেশনগুলির পুরানো সংস্করণ বা প্রশাসকগণ অ্যাপ্লিকেশনগুলির জন্য নিয়মিত প্যাচিং শিডিয়ুল বজায় না রাখলে কেন বিরক্ত হবে। ফোরাম সফটওয়্যার, কন্টেন্ট ম্যানেজমেন্ট সিস্টেম এবং এমনকি ই-বাণিজ্য সরঞ্জামের মতো বহুল ব্যবহৃত অ্যাপ্লিকেশনগুলির মধ্যেও সমস্যাটি আরও বেশি প্রচলিত রয়েছে, শ্টেইম্যান বলেছিলেন।

ঝুঁকি এ সিস্টেম

এপ্রিলে লক্ষ্যযুক্ত সমস্ত দুর্বলতা ছিল ইনজেকশন আক্রমণ, যেমন ফাইল এবং এসকিউএল ইঞ্জেকশন এবং এগুলি সবই প্যাচ করা হয়েছে। ২০১০ এর ত্রুটিটি জিউসসিএমএস ০.২ এ একটি সুবিধাপ্রাপ্ততা পরিচালনার সমস্যাটি ব্যবহার করেছিল এবং ২০০৯ বাগটি জেন ​​কার্ট ১.৩.৮ এবং এর আগে এর এসকিউএল ইনজেকশন ছিল। "দুর্বলতা কখনও মরে যায় বলে মনে হয় না, " শ্টেইম্যান বলেছিলেন।

আক্রমণকারীরা যদি কোনও সিএমএসে কোনও সমস্যা সম্পর্কে জানত এবং সিএমএসটি 10 ​​মিলিয়ন বার ইনস্টল করা হয়েছিল, তবে সফ্টওয়্যারটির সেই সংস্করণটি চালিত সাইটগুলি সন্ধান করা "বুদ্ধিমানের কাজ, " শ্টেইম্যান বলেছিলেন। এটির জন্য কিছু বিচার্য গুগল-ফু প্রয়োজন এবং এর চেয়ে বেশি কিছুই নয়।

ইম্পার্ভা লক্ষ্যযুক্ত দশটি শীর্ষ দুর্বলতার একটি চার্ট সরবরাহ করেছিল এবং তিনটি জিনিস পপ আউট করে। তালিকার "নতুন" দুর্বলতা ২০১৩ সাল থেকে from সিভিএসএস স্কোর দ্বারা দেখা যেতে পারে যে দুর্বলতাগুলি নিজেরাই পরিশীলিত নয়, অত্যন্ত সমালোচনামূলক ত্রুটিযুক্ত। এবং শোষণগুলি এগুলি জটিল নয়।

ওয়ার্ডপ্রেস এবং জুমলা সহ জনপ্রিয় সিএমএস সফ্টওয়্যারটির বিরুদ্ধে প্রচুর গণ আক্রমণ হয়েছে। সেখানে যথেষ্ট দুর্বল সিস্টেম রয়েছে, আক্রমণকারীদের শূন্য-দিনের আক্রমণগুলি তৈরির পরিবর্তে সেই ব্যবস্থাগুলি সন্ধান করা অনেক সস্তা এবং সহজ।

ইনজেকশন ওয়ার্ল্ড বৃদ্ধি

আক্রমণকারীরা কেবলমাত্র বিদ্যমান এবং সম্প্রতি আবিষ্কৃত আক্রমণ ভেক্টরগুলিকে বারবার ব্যবহার করে, শ্টেইম্যান বলেছিলেন। এজন্য এসকিউএল ইঞ্জেকশন এবং ক্রস-সাইট স্ক্রিপ্টিং জনপ্রিয় আক্রমণকারী ভেক্টর হিসাবে রয়ে গেছে। এসকিউএল সমস্যা দশ বছর আগে সমাধান করা হয়েছিল, তবে আক্রমণটির হার এখনও বেশি। তিনি বলেন, ক্রস-সাইট স্ক্রিপ্টিং গত তিন মাসে 40 শতাংশ আক্রমণ এবং এসকিউএল ইঞ্জেকশন 25 শতাংশ হিসাবে চিহ্নিত হয়েছিল।

"আমাদের যদি ক্যান্সারের নিরাময়ের ব্যবস্থা থাকে তবে আপনি মৃত্যুর হার হ্রাস পাবে বলে আশা করছেন But তবে এসকিউএল ইনজেকশনের ক্ষেত্রে এটি হয় না, " শ্টেইম্যান বলেছিলেন।

এক্সপ্লোয়েট- db.com- এ একটি তাত্ক্ষণিক নজরে শ্টেইমানের পর্যবেক্ষণগুলি নিশ্চিত করে। ওয়েব অ্যাপ্লিকেশনগুলির অধীনে তালিকাভুক্ত সাতটি শোষণের মধ্যে পাঁচটি কোনওভাবে ওয়ার্ডপ্রেস, অরসিএমএস বা সামাজিক ব্যবসায়ের প্ল্যাটফর্ম শারেট্রোনিক্সের মতো অফ-দ্য-শেল্ফ সফ্টওয়্যার দিয়ে ডিল করেছে। এক্সএসএস এবং এসকিউএল ইঞ্জেকশন আক্রমণগুলিও প্রায়শই তালিকাবদ্ধ ছিল।

প্রশাসকরা, তারা প্রতিদিন যে কয়েক মিলিয়ন ব্যবহারকারী রয়েছে এমন সাইটগুলি পরিচালনা করছেন বা একটি ছোট অনলাইন উপস্থিতিযুক্ত সাইট, তাদের নিয়মিত তাদের সফ্টওয়্যারটি প্যাচ করার বিষয়টি নিশ্চিত করা দরকার। অনেক সিএমএস বিকাশকারী তাদের সফ্টওয়্যারটির মধ্যে আপডেট প্রক্রিয়াটি সহজ করেছেন এবং ইনস্টল করা সমস্ত অ্যাপ্লিকেশন সনাক্ত করতে সহায়তা করার জন্য সরঞ্জাম রয়েছে। ব্যবহৃত হচ্ছে না এমন বৈশিষ্ট্যগুলি অক্ষম করা উচিত।

অবশ্যই, শূন্য দিনের আক্রমণ এবং লক্ষ্যবস্তু আক্রমণগুলি ভীতিজনক। তবে যদি আক্রমণকারীরা আপনার ডেটা এবং আপনার সাইটের জন্য আসে (এবং প্রতিক্রিয়াগুলি কারও বেশি হয়) তবে আপনার সফ্টওয়্যারটির ছিদ্র রেখে এটিকে সহজ করবেন না। প্যাচ করুন, মূল্যায়ন সরঞ্জামগুলি চালান এবং সন্দেহজনক আচরণের সন্ধান করুন। ভিজিল্যান্স কী।

চারপাশে এত পুরানো বাগ রয়েছে, শূন্য-দিন নিয়ে কেন বিরক্ত করবেন?