Counter Strike 2 Resmen Duyuruldu!

    23 Mart 2023

    CS:GO Source 2 Güncellemesi Işığı Yaktı! Yeni Güncelleme ile Oyuncuları Ne Bekliyor?

    16 Mart 2023

    En Yaygın Kullanılan 15 Google Chrome Eklentisi

    13 Mart 2023

    Trabzonspor’un YouTube Hesabı Hacklendi!

    12 Mart 2023

    Türkiyenin En Aktif 10 Hack Forumu (2023)

    10 Mart 2023

    Ortaöğretim Genel Müdürlüğünün Youtube Hesabı Hacklendi!

    10 Mart 2023

    Uygulama Güvenliği ve API Güvenliği Arasındaki Farklar Nelerdir?

    5 Mart 2023

    En Yüksek Para Kazandıran GTA 5 Soygunları Sıralaması 2023

    12 Şubat 2023

    En İyi Linux Oyunları 2023

    12 Şubat 2023

    iPhone’larda Ön Bellek (Ram) Temizleme Nasıl Yapılır?

    8 Şubat 2023
    Facebook Twitter Instagram
    • Gizlilik Politikası
    • Hakkımızda
    • Reklam Ver
    • İletişim
    Facebook Twitter Instagram Pinterest Vimeo
    Siber BasınSiber Basın
    • Anasayfa
    • Haber
      • Siber Güvenlik Haberleri
      • Hack Haberleri
      • Teknoloji Haberleri
      • Güvenlik Açıkları
    • Video
    • Blog
    • Kategoriler
      • Web
        • Spam
        • VPN
        • Mail
        • Seo
        • Tarayıcı
          • Firefox
          • Google Chrome
          • Opera
        • Deep Web
      • Film
        • Anime
        • Dizi
      • Diğer
        • Apple
          • Macbook
          • AirPods
          • iCloud
        • Vodafone
        • Samsung
        • Program
        • Torrent
        • Sony
        • Virüs
        • Google
          • Google Adsense
        • Turkcell
        • Winrar
        • PDF
        • Yandex
        • Netflix
        • Exxen
        • Amazon
        • E-Kitap
        • İntel
        • Zoom
        • Hosting
        • Microsoft
          • Windows
        • Veri Güvenliği
        • Hacker Grupları
      • İnternet
        • Wi-Fi
        • Proxy
      • Kripto Para
        • Bitcoin
        • Dogecoin
        • Ethereum
        • Kripto Para Borsaları
      • Mobil Telefon
        • Huawei
        • İphone
      • Mobil Uygulamalar
        • Whatsapp
        • App Store
      • Otomobil
        • BMW
        • Elektrikli Arabalar
        • Peugeot
        • Renault
      • Oyun
        • Cyberpunk
        • GTA
        • Call of Duty
        • Apex Legends
        • PlayStation
        • Xbox
        • PUBG
        • Valorant
        • Fortnite
        • Origin
        • Steam
        • Epic Games
        • Far Cry
        • Battlefield
        • Point Blank
        • Lords Mobile
        • Uplay
        • Legend Online
        • Discord
        • Zula
      • Sosyal Medya
        • Facebook
        • Instagram
        • Linkedin
        • Reddit
        • Snapchat
        • Spotify
        • Telegram
        • Tiktok
        • Twitter
        • Twitch
        • Youtube
        • Clubhouse
      • Uzay
        • Mars
      • Yazılım
        • Android
        • Linux
          • Ubuntu
        • WordPress
        • Xenforo
        • Programlama
        • İOS
    Siber BasınSiber Basın

    Anasayfa»Güvenlik Açıkları»Apache Velocity XSS güvenlik açığı GOV siteleri etkiliyor
    Güvenlik Açıkları

    Apache Velocity XSS güvenlik açığı GOV siteleri etkiliyor

    Siber BasınBy Siber Basın15 Ocak 2021Yorum yapılmamış5 Dakika Okuma Süresi
    Paylaş Facebook Twitter Pinterest LinkedIn Tumblr Reddit Telegram Email
    Apache Velocity XSS güvenlik açığı GOV siteleri etkiliyor
    Apache Velocity XSS güvenlik açığı GOV siteleri etkiliyor
    Paylaş
    Facebook Twitter LinkedIn Pinterest Email

    Apache Velocity Tools’daki açıklanmayan Siteler Arası Komut Dosyası (XSS) güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından NASA dahil olmak üzere devlet sitelerini hedeflemek için kullanılabilir .

    Güvenlik açığının raporlanıp yamalanmasının üzerinden 90 gün geçmesine rağmen,  henüz güvenlik önlemleri alınmadı.

    Apache Velocity, geliştiriciler tarafından  Model-View-Controller (MVC) mimarisinde görünümler tasarlamak için kullanılan Java tabanlı bir şablon motorudur  .

    Velocity Tools, standart ve web uygulamaları içindeki Velocity entegrasyonunu daha da kolaylaştıran sınıflardan oluşan bir alt projedir.

    İçindekiler

    • Apache Velocity Araçlarını kullanan Gov Sitelerinde Bulunuyor !
    • Apache: önem derecesine göre öncelik verilen güvenlik açığı raporları
    • CNA olarak hareket eden satıcılarla ilgili artan endişeler

    Apache Velocity Araçlarını kullanan Gov Sitelerinde Bulunuyor !

    Apache Velocity Tools,  aylar önce GitHub’da yayınlanan bir düzeltmeye rağmen tüm sürümlerini etkileyen, açıklanmayan bir XSS güvenlik açığına sahiptir .

    Resmi bir güvenlik açığı açıklaması gerçekleşmemiş olsa da,   bu kusurun CVE-2020-13959 olarak dahili olarak izlendiği  bildirildi.

    Sonatype’ın Nexus Intelligence sistemlerini sorguladığımda, bu kusuru içeren Apache Velocity Tools sınıfının npm, PyPI, Maven Central ve diğer açık kaynak depolarından indirilebilen 2.600’den fazla benzersiz ikili yazılım uygulamasına dahil edildiğini keşfettim. 

    Bileşenin geliştiriciler arasındaki popülaritesi, Velocity Tools’u etkileyen güvenlik açıklarının zamanında ifşa edilmesini çok önemli hale getirir.

    Sakura Samurai  etik hackleme grubundan güvenlik araştırmacısı Jackson Henry ,  ilk olarak 2020 Ekim ayı başlarında Apache’ye yönelik güvenlik açığını keşfetti ve bildirdi.

    Proje, Henry’nin raporunu kabul etmiş ve 5 Kasım 2020’de GitHub’da halka açık bir düzeltme yayınlamış olsa da, Sakura Samuray  araştırmacılarını endişelendiren düzgün bir kamuya açıklama asla gerçekleşmedi .

    Sakura Samurai'nin bir  başka üyesi, 90 gün geçtikten sonra CVE detaylarını yayınlamayan proje hakkında tweet att
    Sakura Samurai’nin bir başka üyesi, 90 gün geçtikten sonra CVE detaylarını yayınlamayan proje hakkında tweet attı

    Yansıyan XSS kusuru, VelocityViewServlet  görünüm  sınıfının hata sayfalarını nasıl oluşturduğunda mevcuttur .

    Geçersiz bir URL’ye erişildiğinde, “şablon bulunamadı” hata sayfası, URL’nin kaynak yolu bölümünü potansiyel XSS komut dosyaları için çıkış yapmadan olduğu gibi yansıtır  .

    Saldırgan sonuç olarak kurbanı böyle bir URL’yi tıklaması için kandırabilir, bu da kurbanı değiştirilmiş bir kimlik avı sayfasına götürür veya oturum açma bilgilerini çalabilir.

    BleepingComputer’ın  gözlemlediği gibi  , savunmasız Apache Velocity Tools örnekleri, * .nasa.gov  ve * .gov.au dahil olmak üzere devlet web siteleri tarafından kullanılıyor .

    nasa xss
    NASA web sitesi alt etki alanı Apache Velocity Tools XSS kusuruna açık

    Bu XSS istismarının daha karmaşık varyasyonları, bazı sosyal mühendislik hileleriyle birleştirildiğinde, saldırganların oturum açmış kullanıcıların oturum tanımlama bilgilerini toplamasına ve potansiyel olarak oturumlarını ele geçirmesine izin verebilir.

    Bu, özellikle aşağıda gösterilenler gibi devlet alan adlarında barındırılan çalışan ve yüklenici oturum açma portalları ile ilgilidir.

    Bir saldırganın * .gov.au  etki alanından oturum çerezleri almasına izin verebilen PoC XSS istismar
    Bir saldırganın * .gov.au etki alanından oturum çerezleri almasına izin verebilen PoC XSS istismar

    Apache: önem derecesine göre öncelik verilen güvenlik açığı raporları

    İle temasa zaman BleepingComputer yorum için , gösterildiği gibi, Apache Software Foundation (ASF) Apache Güvenlik Ekibi yılda açığı raporları yüzlerce alır belirtti ve sorunun ciddiyetine bağlı olarak zamanında onlara cevap olduğunu onların yıllık güvenlik raporu .

    “Apache Velocity araçlarındaki XSS güvenlik açığı ile ilgili olarak, Apache Güvenlik Ekibi ile ilk olarak 6 Ekim 2020’de Velocity Tools paketinin bir bölümünü etkileyen buldukları bir sorunu ifşa eden bir kişi (sorun muhabiri olarak anılır) ile iletişime geçti.”

    “Bunu, raporu 7 Ekim’de araştırıp kabul eden ve muhabirin yamayı göndermesini öneren Apache Velocity Proje Yönetim Komitesi (PMC) ile özel olarak paylaştık.”

    “Daha sonra muhabir bir talepte bulundu ve ekip birkaç hafta boyunca düzeltmeyi hassaslaştırmak için çalıştı. Bu düzeltme 5 Kasım’da uygulandı. Muhabir yamayı 8 Ekim’de herkese açık olarak sundu ve Güvenlik açığının kritik doğası gereği, Velocity ekibi kamuoyunda konu üzerinde çalışmaya devam etmeye karar verdi. “

    ASF Güvenlik Başkan Yardımcısı Mark J Cox, BleepingComputer’a  yaptığı açıklamada , “Sorun dahili olarak 8 Ekim’de CVE-2020-13959 olarak atandı,” dedi  .

    Proje için kalan bir sonraki adım, CVE’den bahsedecek sabit bir Hız Araçları sürümü ve tarihi henüz belirlenmemiş bir yükseltme yolu yapmaktır.

    Bununla birlikte, bir düzeltmenin yayınlanmasını beklemek istemeyen kullanıcılar, herkesin görebileceği düzeltmeyi kendileri uygulamayı deneyebilirler .

    CNA olarak hareket eden satıcılarla ilgili artan endişeler

    Son zamanlarda güvenlik açığı raporlarının sayısı katlanarak artmaya devam ederken, CVE kimlikleri atamakla görevli kar amacı gütmeyen kuruluş MITER, ölçeklenebilirlik zorluklarıyla karşılaştı.

    CVE atama ve sorumlu ifşa sürecini hızlandırmak için CVE Numaralandırma Yetkilileri  (CNA’lar) kavramı tanıtıldı.

    Bir CNA olarak onaylanan kuruluşlar, güvenlik açığı raporları için CVE atama ve MITER adına sorumlu ifşa sürecini yürütme yetkisine sahiptir.

    Ancak son zamanlarda, giderek daha fazla satıcı CNA olmak için adım atıyor ve güvenlik açığı ifşa sürecinin kontrolünü ele alıyor.

    Bu, infosec uzmanlarını bu gelişmenin uzun vadede güvenliği gerçekten engelleyip engelleyemeyeceği konusunda endişelendirdi.

    The Daily Swig tarafından daha önce bildirildiği üzere , MITRE kuralları uyarınca, bir CNA’nın projelere özel olarak bildirilen ve bazıları kendi ürünlerini de içerebilecek güvenlik açıklarına CVE ataması gerekmez.

    Bu, satıcıların en ciddi güvenlik sorunlarını bile hemen bunları kamuya bildirmek zorunda kalmadan sessizce çözebilecekleri anlamına gelir.

    Son zamanlarda, bu, VMWare durumunda, PT Swarm araştırmacıları tarafından vCenter’da kimliği doğrulanmamış bir dosya okuma güvenlik açığı rapor edildiğinde ve hemen bir CVE yayınlanmadan VMWare tarafından sessizce yamalandığında meydana geldi.

    “Şirketlerin güvenlik açıklarını ciddiye alması ve yamalar tasarlamak için araştırmacılarla birlikte çalışması gerekiyor.”

    Henry , bir e-posta röportajında BleepingComputer’a “İletişim ve durum güncellemeleri, araştırmacıları döngüde tutmak için çok önemlidir, bu, gözden kaçabilen ve şeffaflığa zarar verebilecek önemli bir iyileştirme yönüdür – hatta cesaret kırıcıdır,” dedi .

    Apache Güvenlik Ekibi, CVE işleme süreçlerinin ayrıntılarını BleepingComputer  ile  paylaştı ; bu, bazen kritik olmayan sorunlar için güvenlik açığı açıklamalarını kısa bir süre geciktirmeyi de içerebiliyor.

    “Güvenlik sorunlarının kritik olmadığı durumlarda, bazı projeler diğer sorunların aynı anda ele alınmasına izin vermek için bir sürüm için kısa bir süre bekletecektir.”

    “Bu örnekte dikkat edilmesi gereken nokta, sorunu bildiren kişinin ASF güvenlik ekibine gönderdiği her e-postaya bir iş günü içinde yanıt verildi ve muhabir hızlı yanıtımızı övdü, bu nedenle muhabirin bunları hissettiğini öğrendiğimizde biraz şaşırdık.

    Bir başka makale: Web Sitenizi Hackerlerden Korumak için 6 Güvenlik İpucu

    Paylaş. Facebook Twitter Pinterest LinkedIn Tumblr Email
    ÖNCEKİ MAKALE Galaxy S21, iPhone 12 ve Xiaomi Mi 11 Özellikleri: Aralarındaki Fark Nedir?
    SONRAKİ MAKALE Facebook, kötü amaçlı Chrome uzantılarının yapımcılarına dava açtı
    Siber Basın
    • Facebook
    • Twitter
    • Instagram

    Siber dünyada gerçekleşen tüm olayları, hack haberlerini, teknoloji gelişmelerini ve bir çok konuda bilgilendirici makaleleri araştırıp sizler ile paylaşıyorum.

    Önerilen Gönderiler

    Güvenlik Açıkları

    Boa’nın Unutulan Web Sunucuları Tehtid Haline Geliyor!

    25 Kasım 2022
    Güvenlik Açıkları

    En Çok Yararlanılan 30 Siber Güvenlik Açıkları (FBI Tarafından Açıklandı)

    29 Mart 2022
    Güvenlik Açıkları

    Penetrasyon (Sızma) Testleri Nelerdir?

    29 Kasım 2021
    Yorum Ekle

    Yorum Bırak Cancel Reply

    Counter Strike 2 Resmen Duyuruldu!

    23 Mart 2023

    CS:GO Source 2 Güncellemesi Işığı Yaktı! Yeni Güncelleme ile Oyuncuları Ne Bekliyor?

    16 Mart 2023

    En Yaygın Kullanılan 15 Google Chrome Eklentisi

    13 Mart 2023

    Trabzonspor’un YouTube Hesabı Hacklendi!

    12 Mart 2023
    En İyi Gönderiler

    İnstagram E-Posta Adresi Nasıl Bulunur?

    1 Ağustos 2020

    İnstagram Taklitten Kapanan Hesap Nasıl Açılır?

    22 Mart 2022

    Ücretsiz En İyi 14 Android Telefon Hackleme Programları

    13 Şubat 2022
    Paylaş
    • Facebook
    • YouTube
    • TikTok
    • WhatsApp
    • Twitter
    • Instagram
    HAKKIMIZDA
    HAKKIMIZDA

    Siber Basın, 2019 yılında temelleri atılan, okurlarına siber dünyayı yakından takip etme fırsatı vermek, bilgilendirici konular ile sanal dünyaya hazırlık aşamasında gelişimlerini sağlamakta olanaklar sunmak ve yer altı dünyasının ufuklarını gün yüzüne daha çok ulaştırmak amacıyla belirli kişi veya kişiler tarafından açılmıştır.

    Facebook Twitter Instagram YouTube
    SİZİN İÇİN SEÇTİKLERİMİZ

    Counter Strike 2 Resmen Duyuruldu!

    23 Mart 2023

    CS:GO Source 2 Güncellemesi Işığı Yaktı! Yeni Güncelleme ile Oyuncuları Ne Bekliyor?

    16 Mart 2023

    En Yaygın Kullanılan 15 Google Chrome Eklentisi

    13 Mart 2023
    Yeni Yorumlar
    • Point Blank Bedava TG Alma için feritey
    • Point Blank Bedava TG Alma için feritey
    • Türkiye’nin En Aktif 6 Hack Forumu için Omer
    • Türkiye’nin En Aktif 6 Hack Forumu için servet tavsi
    • İnstagram E-Posta Adresi Nasıl Bulunur? için Serkan
    Facebook Twitter Instagram Pinterest
    • Anasayfa
    • Gizlilik Politikası
    • Hakkımızda
    • Hack Haberleri
    • Teknoloji Haberleri
    • Siber Güvenlik Haberleri
    • Hacker Grupları
    • Mobil Telefon
    • Yazılım
    • Oyun
    • İnternet
    • Güvenlik Açıkları
    • Windows
    • Reklam Ver
    • İletişim
    • Telefon Takip
    • Siber Güvenlik Nedir?
    • Siber suçlarla mücadele polisi nasıl olunur?
    • Siber güvenlik uzmanı olmak için hangi bölüme gidilir?
    • Siber güvenlik uzmanı maaşları ne kadar?
    • Nasıl siber güvenlik uzmanı olunur?
    • Telefon hackleme programları
    • Formatsız ekran kilidi açma
    • Telefon temizleme ve hızlandırma programları
    • Youtube video indirme uygulamaları
    • Fake hesabın kimin olduğunu bulma
    • Snapchat engel kaldırma
    • Discord ses değiştirme programları
    • İnstagram taklitten kapanan hesap açma
    • İphone hackleme
    • İnstagram e-posta bulma
    • Facebook e-posta bulma
    • Twitter e-posta bulma
    • Twitter hesap çalma
    • Facebook hesabı çalma
    • İnstagram hesabı çalma
    • Siber Güvenlik Blog
    • Torrent Oyun İndirme Siteleri
    • PDF Şifre Kırma
    • Şifre Kırma Teknikleri
    • Telefon Şifresi Kırma
    • Winrar Şifre Kırma
    • Wifi şifre kırma
    • Telefon Görüşmesi Kaydetme Uygulaması
    • Kolay Para Kazanma Yöntemleri
    • Memur Olma Şartları
    • Nasıl Acil Tıp Teknisyeni (ATT) Olunur?
    • Pinterest Para Kazanma
    • Evde Güve Neden Olur?
    © 2023 - Teknoloji, Siber Güvenlik ve Hack Haberleri - Tüm Hakları Saklıdır.

    Yukarıya yazın ve aramak için Enter tuşuna basın. İptal etmek için Esc tuşuna basın.

    Go to mobile version