شرکت موزیلا مجدداً برنامه‌ی پاداش در ازای اشکال خود را راه‌اندازی کرد

شرکت موزیلا روز پنج‌شنبه اعلام کرد که برنامه‌ی پاداش در ازای اشکال خود را برای امنیت سرویس‌های مبتنی بر وب مجدداً راه‌اندازی کرده است. در حال حاضر به نفوذگران کلاه سفید اعلام شده است برای کشف هر نوع از آسیب‌پذیری‌ها قرار است چقدر جایزه به آن‌ها تعلق بگیرد. موزیلا از سال ۲۰۰۴ میلادی برنامه‌ی پاداش اطلاعت بیشتر دربارهشرکت موزیلا مجدداً برنامه‌ی پاداش در ازای اشکال خود را راه‌اندازی کرد[…]

شرکت ایسوس ۵ آسیب‌پذیری را در مسیریاب‌های RT وصله کرد

برخی از دستگاه‌های شرکت ایسوس با نام‌های RT-AC و RT-N که از آخرین نسخه‌ی ثابت‌افزارها استفاده می‌کنند، دارای آسیب‌پذیری‌های CSRF ،JSONP و XSS هستند که به مهاجم اجازه‌ی افشای اطلاعات، تغییر تنظیمات دستگاه و تزریق کد را می‌دهد. شرکت ایسوس در ماه مارس این آسیب‌پذیری‌ها را وصله کرد ولی برخی از جزئیات آن‌ها این هفته اطلاعت بیشتر دربارهشرکت ایسوس ۵ آسیب‌پذیری را در مسیریاب‌های RT وصله کرد[…]

انتشار یک به‌روزرسانی امنیتی مهم توسط وردپرس

وردپرس اعلام کرد که سه نقص امنیتی را در جدیدترین به‌روزرسانی خود اصلاح کرده است، این نقص‌ها شامل یک آسیب‌پذیری هستند که امکان تزریق کد را مهیا می‌سازد، همچنین در میان این شکاف‌ها یک مورد تزریق SQL وجود دارد که ممکن است منجر به مجموعه‌ی تازه‌ای از مشکلات شود. توسعه‌دهندگان وردپرس در قالب یک توصیه‌نامه‌ی اطلاعت بیشتر دربارهانتشار یک به‌روزرسانی امنیتی مهم توسط وردپرس[…]

وصله‌ی ۳ آسیب‌پذیری در سامانه‌ی مدیریت محتوای وردپرس

توسعه‌دهندگان وردپرس روز پنج‌شنبه نسخه‌ی ۴.۷.۲ این سامانه‌ی مدیریت محتوا را منتشر کردند تا ۳ آسیب‌پذیری موجود در نسخه‌ی قبلی برطرف شود. یکی از این آسیب‌پذیری‌ها تزریق SQL در کلاس WP_Query بود. این کلاس پیچیدگی‌ها و ریز‌ه‌کاری‌های مربوط به ارسال یک پست بر روی وبلاگ را مدیریت می‌کند. این آسیب‌پذیری توسط توسعه‌دهنده‌ای به نام محمد اطلاعت بیشتر دربارهوصله‌ی ۳ آسیب‌پذیری در سامانه‌ی مدیریت محتوای وردپرس[…]

آسیب‌پذیری در رایانامه‌ی یاهو: مهاجمان می‌توانند تمامی رایانامه‌های کاربران را بخوانند

یاهو یک آسیب‌پذیری جدی در سرویس رایانامه‌ی خود را وصله کرد. این آسیب‌پذیری به مهاجم اجازه می‌داد در صندوق ورودی کاربران یاهو جاسوسی کند. یک محقق امنیتی در رایانامه‌ی یاهو یک آسیب‌پذیری XSS۱ مبتنی بر DOM را گزارش دارد. اگر این آسیب‌پذیری مورد بهره‌برداری قرار گیرد، مهاجم می‌تواند رایانامه‌ای حاوی کد مخرب ارسال کند. در اطلاعت بیشتر دربارهآسیب‌پذیری در رایانامه‌ی یاهو: مهاجمان می‌توانند تمامی رایانامه‌های کاربران را بخوانند[…]

به‌روزرسانی جدید مرورگر کروم: ۱۲ آسیب‌پذیری جدی وصله شد

گوگل اصرار دارد تا کاربران ویندوز، لینوکس و مک هرچه سریع‌تر مرورگر کروم خود را برای وصله‌ی چند آسیب‌پذیری به‌روزرسانی کنند. گوگل معتقد است بهره‌برداری از این آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد کنترل کامل دستگاه قربانی را در دست بگیرد. نسخه‌ی ۵۵.۰.۲۸۸۳.۷۵ کروم که روز پنج‌شنبه برای سامانه‌های عامل ویندوز، مک و لینوکس منتشر شد اطلاعت بیشتر دربارهبه‌روزرسانی جدید مرورگر کروم: ۱۲ آسیب‌پذیری جدی وصله شد[…]

بروز حملات XSS‌ در سامانه وردپرس

سامانه‌ی مدیریت محتوای وردپرس طی یک اطلاعیه هشداری از کاربران خود درخواست کرد که برنامه‌های خود را با استفاده از نسخه ۴.۶.۱ به‌روزرسانی کنند. این سامانه در این اطلاعیه اعلام کرد که نسخه جدید دو مورد از اشکالات امنیتی و همچنین تعداد زیادی از اشکالات عملیاتی موجود در نسخه‌های قبلی را رفع کرده است. طراحان اطلاعت بیشتر دربارهبروز حملات XSS‌ در سامانه وردپرس[…]

آسیب پذیری XSS در وصله امنیتی منتشر شده ورد پرس ۴٫۴٫۱

آسیب پذیری امنیتی با ریسک بالای  Cross-Site Scripting یا XSS در نسخه ورد پرس ۴٫۴٫۱ مرتفع گردید و هم اکنون امکان دانلود و بروز رسانی برای آن وجود دارد. علاوه بر آسیب پذیری XSS که توسط محقق امنیتی Crtc4L گزارش شده است، ۵۱ باگ غیر امنیتی نیز در این نسخه برطرف گردیده است. وب سایت های اطلاعت بیشتر دربارهآسیب پذیری XSS در وصله امنیتی منتشر شده ورد پرس ۴٫۴٫۱[…]

حملات تزریق SQL مهم‌ترین منبع حملات سایبری در سال ۲۰۱۵

پژوهش جدیدی که از سوی مؤسسه Ponemon (مؤسسه‌ی پژوهشی مستقل در زمینه‌ی امنیت فناوری اطلاعات و حریم خصوصی) صورت گرفته است نشان می‌دهد که در حدود ٪۸۰ شرکت‌های تجاری مدعی شده‌اند نرم‌افزارهای مورد استفاده‌ی آن‌ها آسیب‌پذیر‌تر شده‌اند. این آسیب‌پذیری‌ها هنگامی بیشتر شده‌اند که شرکت‌های بیشتری برای انجام کارهای خود از نرم‌افزارهای بیشتری استفاده کرده‌اند. این اطلاعت بیشتر دربارهحملات تزریق SQL مهم‌ترین منبع حملات سایبری در سال ۲۰۱۵[…]

OWASP

OWASP سازمانی بین المللی و غیر انتفاعی می باشد که در راستای ایمن سازی طراحی، پیاده سازی، توسعه و تست پروژه های نرم افزاری فعالیت می کند. تمامی مستندات، ابزارها و چک لیست های مندرج در سایت رسمی آن سازمان رایگان بوده و در جهت برطرف نمودن آسیب پذیری های امنیتی متداول در تمامی قالب اطلاعت بیشتر دربارهOWASP[…]