CS:GO Source 2 Güncellemesi Işığı Yaktı! Yeni Güncelleme ile Oyuncuları Ne Bekliyor?

    16 Mart 2023

    En Yaygın Kullanılan 15 Google Chrome Eklentisi

    13 Mart 2023

    Trabzonspor’un YouTube Hesabı Hacklendi!

    12 Mart 2023

    Türkiyenin En Aktif 10 Hack Forumu (2023)

    10 Mart 2023

    Ortaöğretim Genel Müdürlüğünün Youtube Hesabı Hacklendi!

    10 Mart 2023

    Uygulama Güvenliği ve API Güvenliği Arasındaki Farklar Nelerdir?

    5 Mart 2023

    En Yüksek Para Kazandıran GTA 5 Soygunları Sıralaması 2023

    12 Şubat 2023

    En İyi Linux Oyunları 2023

    12 Şubat 2023

    iPhone’larda Ön Bellek (Ram) Temizleme Nasıl Yapılır?

    8 Şubat 2023

    Dokunmatik Ekran Teknolojisi Nasıl Çalışır?

    8 Şubat 2023
    Facebook Twitter Instagram
    • Gizlilik Politikası
    • Hakkımızda
    • Reklam Ver
    • İletişim
    Facebook Twitter Instagram Pinterest Vimeo
    Siber BasınSiber Basın
    • Anasayfa
    • Haber
      • Siber Güvenlik Haberleri
      • Hack Haberleri
      • Teknoloji Haberleri
      • Güvenlik Açıkları
    • Video
    • Blog
    • Kategoriler
      • Web
        • Spam
        • VPN
        • Mail
        • Seo
        • Tarayıcı
          • Firefox
          • Google Chrome
          • Opera
        • Deep Web
      • Film
        • Anime
        • Dizi
      • Diğer
        • Apple
          • Macbook
          • AirPods
          • iCloud
        • Vodafone
        • Samsung
        • Program
        • Torrent
        • Sony
        • Virüs
        • Google
          • Google Adsense
        • Turkcell
        • Winrar
        • PDF
        • Yandex
        • Netflix
        • Exxen
        • Amazon
        • E-Kitap
        • İntel
        • Zoom
        • Hosting
        • Microsoft
          • Windows
        • Veri Güvenliği
        • Hacker Grupları
      • İnternet
        • Wi-Fi
        • Proxy
      • Kripto Para
        • Bitcoin
        • Dogecoin
        • Ethereum
        • Kripto Para Borsaları
      • Mobil Telefon
        • Huawei
        • İphone
      • Mobil Uygulamalar
        • Whatsapp
        • App Store
      • Otomobil
        • BMW
        • Elektrikli Arabalar
        • Peugeot
        • Renault
      • Oyun
        • Cyberpunk
        • GTA
        • Call of Duty
        • Apex Legends
        • PlayStation
        • Xbox
        • PUBG
        • Valorant
        • Fortnite
        • Origin
        • Steam
        • Epic Games
        • Far Cry
        • Battlefield
        • Point Blank
        • Lords Mobile
        • Uplay
        • Legend Online
        • Discord
        • Zula
      • Sosyal Medya
        • Facebook
        • Instagram
        • Linkedin
        • Reddit
        • Snapchat
        • Spotify
        • Telegram
        • Tiktok
        • Twitter
        • Twitch
        • Youtube
        • Clubhouse
      • Uzay
        • Mars
      • Yazılım
        • Android
        • Linux
          • Ubuntu
        • WordPress
        • Xenforo
        • Programlama
        • İOS
    Siber BasınSiber Basın

    Anasayfa»Güvenlik Açıkları»Zend Framework uzaktan kod yürütme güvenlik açığı ortaya çıktı
    Güvenlik Açıkları

    Zend Framework uzaktan kod yürütme güvenlik açığı ortaya çıktı

    Siber BasınBy Siber Basın5 Ocak 2021Güncellendi:28 Ağustos 2021Yorum yapılmamış3 Dakika Okuma Süresi
    Paylaş Facebook Twitter Pinterest LinkedIn Tumblr Reddit Telegram Email
    Zend Framework uzaktan kod yürütme güvenlik açığı ortaya çıktı
    Zend Framework uzaktan kod yürütme güvenlik açığı ortaya çıktı
    Paylaş
    Facebook Twitter LinkedIn Pinterest Email

    Bu hafta, Zend Framework saldırganlar tarafından PHP sitelerinde uzaktan kod yürütülmesi için nasıl yararlanılabileceği konusunda güvenilmeyen bir seriyi kaldırma güvenlik açığı açıklandı.

    CVE-2021-3007 olarak izlenen bu güvenlik açığı, Zend’in halefi olan Laminas Project ile oluşturulan uygulamaları da etkileyebilir. Zend Framework, 570 milyondan fazla kez yüklenmiş PHP paketlerinden oluşur. Çerçeve, geliştiriciler tarafından nesneye yönelik web uygulamaları oluşturmak için kullanılır.

    Güvenilmeyen seriyi kaldırma işleminden RCE’ye

    Bu hafta, güvenlik araştırmacısı Ling Yizhou, Zend Framework 3.0.0’daki belirli bir gadget zincirinin güvenilmeyen seriyi kaldırma saldırılarında nasıl kötüye kullanılabileceğini açıkladı.

    Açıktan yararlanılırsa, uzak saldırganların belirli koşullar altında savunmasız PHP uygulamalarında uzaktan kod yürütme (RCE) saldırıları gerçekleştirmesine izin verebilir.

    “Zend Framework 3.0.0, Stream.php’deki Zend \ Http \ Response \ Stream sınıfının __destruct yöntemiyle ilgili olarak içeriğin kontrol edilebilir olması durumunda uzaktan kod yürütülmesine yol açabilecek bir seriyi kaldırma güvenlik açığına sahiptir “, MITRE’nin CVE için tavsiyesini belirtir.  2021-3007.

    Gerçek güvenilmeyen serileştirmenin savunmasız bir uygulamadan gelmesi ve Zend Framework’ün kendisinde mevcut olmaması gerekirken, Zend tarafından sağlanan sınıflar zinciri, bir saldırganın RCE’ye ulaşmasına izin verir.

    Uygulama tarafından bir kullanıcıdan veya sistemden alınan kodlanmış veriler, uygulama tarafından kodu çözülmeden önce düzgün bir şekilde doğrulanmadığında, uygulamalarda güvenilmeyen seriyi kaldırma güvenlik açıkları ortaya çıkar.

    Güvenlik açığı bulunan bir uygulama, alınan verileri uygun olmayan biçimde seri halinden çıkarabilir ve işleyebilir; bu, uygulama çökmelerinden (Hizmet Reddi) saldırganın uygulama bağlamında rasgele komutlar çalıştırmasına kadar çeşitli sonuçlara yol açabilir.

    Zend durumunda, güvenlik açığı, bir PHP sihirli yöntemi olan Stream sınıfının yıkıcısından kaynaklanıyor . Nesne yönelimli programlamada, yapıcılar ve yıkıcılar, yeni bir sınıf nesnesi oluşturulduğunda ve yok edildiğinde sırasıyla çağrılan yöntemlerdir.

    Örneğin, yeni oluşturulan bir  Stream  nesnesi, bu durumda, kurucu aracılığıyla kendi anlayışında bir dizi komut çalıştırır . Nesne, program yürütme iş akışı boyunca amacına hizmet ettiğinde, PHP yorumlayıcısı sonunda nesnenin yıkıcısını çağırır ve iyi bir uygulama olarak belleği boşaltmak, temizleme görevlerini gerçekleştirmek ve herhangi bir geçici dosyayı silmek için başka bir komut dizisi izler.

    Yizhou işaret bağlantı kaldırma ()  denilen yöntem Çayı  olan bir parametre, bir dosya adı, bir dosya silme yıkıcı bekler  dize  veri türü.  Gerçekte, streamName nesnesi dize olmayan bir türde olursa, uygulama çalıştırmasının sonunda yine de  yıkıcıya iletilir.

    Bu nedenle, yalnızca bir dize değerini bekleyen yıkıcı, dizeye eşdeğer değerini almak için nesnenin __toString yöntemini çağırmaya çalışır.  Ancak __toString  yöntemi, nesnenin yaratıcısı veya nesnenin somutlaştırdığı sınıfın yaratıcısı tarafından kolayca özelleştirilebilir.

    Örnek olarak, Yizhou, Zend Framework’ün Gravatar sınıfındaki __toString yönteminin, programcıları tarafından, sonunda saldırganın keyfi kod yürütmek için doğrudan kontrole sahip olduğu değerleri döndürecek şekilde yazılmış olduğunu vurguladı.

    Bu,  Stream  sınıfının streamName’in  beklendiği bir Gravator  nesnesine  geçirilmesi  durumunda , belirli koşullar altında, tehdit aktörünün Zend ile oluşturulan savunmasız PHP uygulamaları içinde rastgele komutlar çalıştırabileceği anlamına gelir.

    Araştırmacı, PHP uygulaması tarafından çözümlendiğinde saldırganın çıktılarını işlenen web sayfalarındaki komutlarının çıktısını oluşturacak şekilde Zend’e serileştirilmiş nesnelerin aktarılmasının mümkün olduğu en az 2 senaryo gösterdi.

    Bir kavram kanıtı (PoC) istismarında, araştırmacı web uygulamasının  phpinfo  sayfasının sistem komutunu  “whoami” başarıyla ayrıştırdığını, serileştirilmiş bir HTTP isteğinden geçirdiğini ve Windows hesap adını “nt otorite \ sistem” döndürdüğünü gösterdi.

     

     

    Paylaş. Facebook Twitter Pinterest LinkedIn Tumblr Email
    ÖNCEKİ MAKALE Çin’in APT bilgisayar korsanları fidye yazılımı saldırılarına geçiyor
    SONRAKİ MAKALE Ryuk fidye yazılımı sağlık sektörü için tehtid oluşturuyor
    Siber Basın
    • Facebook
    • Twitter
    • Instagram

    Siber dünyada gerçekleşen tüm olayları, hack haberlerini, teknoloji gelişmelerini ve bir çok konuda bilgilendirici makaleleri araştırıp sizler ile paylaşıyorum.

    Önerilen Gönderiler

    Güvenlik Açıkları

    Boa’nın Unutulan Web Sunucuları Tehtid Haline Geliyor!

    25 Kasım 2022
    Güvenlik Açıkları

    En Çok Yararlanılan 30 Siber Güvenlik Açıkları (FBI Tarafından Açıklandı)

    29 Mart 2022
    Güvenlik Açıkları

    Penetrasyon (Sızma) Testleri Nelerdir?

    29 Kasım 2021
    Yorum Ekle

    Yorum Bırak Cancel Reply

    CS:GO Source 2 Güncellemesi Işığı Yaktı! Yeni Güncelleme ile Oyuncuları Ne Bekliyor?

    16 Mart 2023

    En Yaygın Kullanılan 15 Google Chrome Eklentisi

    13 Mart 2023

    Trabzonspor’un YouTube Hesabı Hacklendi!

    12 Mart 2023

    Türkiyenin En Aktif 10 Hack Forumu (2023)

    10 Mart 2023
    En İyi Gönderiler

    İnstagram E-Posta Adresi Nasıl Bulunur?

    1 Ağustos 2020

    İnstagram Taklitten Kapanan Hesap Nasıl Açılır?

    22 Mart 2022

    Ücretsiz En İyi 14 Android Telefon Hackleme Programları

    13 Şubat 2022
    Paylaş
    • Facebook
    • YouTube
    • TikTok
    • WhatsApp
    • Twitter
    • Instagram
    HAKKIMIZDA
    HAKKIMIZDA

    Siber Basın, 2019 yılında temelleri atılan, okurlarına siber dünyayı yakından takip etme fırsatı vermek, bilgilendirici konular ile sanal dünyaya hazırlık aşamasında gelişimlerini sağlamakta olanaklar sunmak ve yer altı dünyasının ufuklarını gün yüzüne daha çok ulaştırmak amacıyla belirli kişi veya kişiler tarafından açılmıştır.

    Facebook Twitter Instagram YouTube
    SİZİN İÇİN SEÇTİKLERİMİZ

    CS:GO Source 2 Güncellemesi Işığı Yaktı! Yeni Güncelleme ile Oyuncuları Ne Bekliyor?

    16 Mart 2023

    En Yaygın Kullanılan 15 Google Chrome Eklentisi

    13 Mart 2023

    Trabzonspor’un YouTube Hesabı Hacklendi!

    12 Mart 2023
    Yeni Yorumlar
    • Point Blank Bedava TG Alma için feritey
    • Point Blank Bedava TG Alma için feritey
    • Türkiye’nin En Aktif 6 Hack Forumu için Omer
    • Türkiye’nin En Aktif 6 Hack Forumu için servet tavsi
    • İnstagram E-Posta Adresi Nasıl Bulunur? için Serkan
    Facebook Twitter Instagram Pinterest
    • Anasayfa
    • Gizlilik Politikası
    • Hakkımızda
    • Hack Haberleri
    • Teknoloji Haberleri
    • Siber Güvenlik Haberleri
    • Hacker Grupları
    • Mobil Telefon
    • Yazılım
    • Oyun
    • İnternet
    • Güvenlik Açıkları
    • Windows
    • Reklam Ver
    • İletişim
    • Telefon Takip
    • Siber Güvenlik Nedir?
    • Siber suçlarla mücadele polisi nasıl olunur?
    • Siber güvenlik uzmanı olmak için hangi bölüme gidilir?
    • Siber güvenlik uzmanı maaşları ne kadar?
    • Nasıl siber güvenlik uzmanı olunur?
    • Telefon hackleme programları
    • Formatsız ekran kilidi açma
    • Telefon temizleme ve hızlandırma programları
    • Youtube video indirme uygulamaları
    • Fake hesabın kimin olduğunu bulma
    • Snapchat engel kaldırma
    • Discord ses değiştirme programları
    • İnstagram taklitten kapanan hesap açma
    • İphone hackleme
    • İnstagram e-posta bulma
    • Facebook e-posta bulma
    • Twitter e-posta bulma
    • Twitter hesap çalma
    • Facebook hesabı çalma
    • İnstagram hesabı çalma
    • Siber Güvenlik Blog
    • Torrent Oyun İndirme Siteleri
    • PDF Şifre Kırma
    • Şifre Kırma Teknikleri
    • Telefon Şifresi Kırma
    • Winrar Şifre Kırma
    • Wifi şifre kırma
    • Telefon Görüşmesi Kaydetme Uygulaması
    • Kolay Para Kazanma Yöntemleri
    • Memur Olma Şartları
    • Nasıl Acil Tıp Teknisyeni (ATT) Olunur?
    • Pinterest Para Kazanma
    • Evde Güve Neden Olur?
    © 2023 - Teknoloji, Siber Güvenlik ve Hack Haberleri - Tüm Hakları Saklıdır.

    Yukarıya yazın ve aramak için Enter tuşuna basın. İptal etmek için Esc tuşuna basın.

    Go to mobile version