🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
نقطة نهاية واحدة تم تكوينها بشكل خاطئ. هذا كل ما يتطلبه الأمر للكشف عن الوصول إلى الخادم على مستوى الجذر وبيانات الاعتماد المشفرة والتكوينات الحساسة لمنصة سفر رئيسية. في هذا العرض المثير للإعجاب، يوضح BeVigil من CloudSek كيف تصاعدت الرقابة التي تبدو بسيطة إلى ثغرة أمنية كاملة في تضمين الملفات المحلية (LFI) - دون الحاجة إلى مصادقة. اكتشف كيف تمكن المهاجمون من اختراق البنية التحتية بأكملها، وما يجب على مؤسستك فعله لتجنب نفس المصير، بدءًا من تسريبات شفرة المصدر وحتى جمع بيانات الاعتماد.
هل تعلم أن ٧٠٪ من الموارد، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية، المملكة العربية السعودية.
Schedule a Demoكشف المخاطر المخفية في البنية التحتية للويب
نظرًا لاعتماد المؤسسات بشكل متزايد على واجهات برمجة التطبيقات المترابطة والبنى السحابية الأصلية، يمكن أن تتطور حتى التكوينات الخاطئة البسيطة إلى تهديدات أمنية خطيرة. كشف تحقيق حديث أجرته BeVigil، منصة إدارة سطح الهجوم في CloudSek، عن ثغرة خطيرة غير مصدق عليها في تضمين الملفات المحلية (LFI) تؤثر على نطاق فرعي مرتبط بلاعب رئيسي في صناعة السفر. تستكشف هذه المدونة الاكتشاف وتداعياته، وتعرض الحاجة الملحة للنظافة الأمنية الصارمة في البنى التحتية الرقمية.
ذا ديسكفري
حدد ماسح API الخاص بـ BeVigil ثغرة LFI خطيرة في أحد المجالات. سمح الخلل بالوصول غير المصدق إلى نظام الملفات على مستوى الجذر للخادم من خلال نقاط نهاية ملف القراءة المكشوف وبيانات التحميل. من خلال تسلسل قائمة الدليل ووظائف قراءة الملفات، يمكن للمهاجم الحصول على وصول شامل إلى الملفات الداخلية، بما في ذلك شفرة المصدر وبيانات التكوين وبيانات الاعتماد المشفرة.
النتائج الرئيسية
قام تطبيق الويب المتأثر بتنفيذ نقطتي النهاية - readfile؟ المسار = وتحميل البيانات؟ path=—والذي يمكن معالجته لإدراج الملفات العشوائية والوصول إليها عبر الخادم. تفتقر نقاط النهاية هذه إلى المصادقة المناسبة والتحقق من صحة الإدخال.
أدى الجمع بين نقاط النهاية هذه إلى تمكين المهاجمين من استخراج بيانات الاعتماد المشفرة وشفرة المصدر ونصوص النشر وأسرار المصادقة، مما يعرض سلامة البنية التحتية وسريتها للخطر.
الكشف عن الثغرة الأمنية: انهيار فني
توصيات BeVigil الأمنية
اقترحت BeVigil سلسلة من استراتيجيات التخفيف لمعالجة الضعف ومنع حدوث مشكلات مماثلة:
الخاتمة
يؤكد هذا الاكتشاف الآثار الخطيرة لثغرات الوصول غير المصادق عليها في أصول الويب المكشوفة للجمهور. من خلال اعتماد وضع أمني استباقي، وفرض مبادئ الحد الأدنى من الامتيازات، ودمج أدوات مثل BeVigil، يمكن للمؤسسات تقوية أنظمتها البيئية الرقمية وحماية الأصول الحيوية من الاستغلال.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.