Heartbleed အားနည်းချက်က ဘာလဲ၊ ၎င်းသည် ဝဘ်အက်ပလီကေးရှင်းများကို မည်သို့အကျိုးသက်ရောက်သနည်း။
Heartbleed အားနည်းချက်သည် 2014 ခုနှစ် ဧပြီလတွင် OpenSSL ကုဒ်ဝှက်ဆော့ဖ်ဝဲစာကြည့်တိုက်တွင် ရှာဖွေတွေ့ရှိခဲ့သော ပြင်းထန်သောလုံခြုံရေးချို့ယွင်းချက်ဖြစ်သည်။ OpenSSL ကို ဝဘ်အက်ပလီကေးရှင်းများအပါအဝင် အင်တာနက်ပေါ်ရှိဆက်သွယ်ရေးကို လုံခြုံစေရန် တွင်ကျယ်စွာအသုံးပြုပါသည်။ ဤအားနည်းချက်သည် တိုက်ခိုက်သူအား Transport Layer Security (TLS) heartbeat extension ၏ OpenSSL အကောင်အထည်ဖော်မှုတွင် ချို့ယွင်းချက်ကို အသုံးချနိုင်စေသည်၊
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, Heartbleed Exploit - ရှာဖွေတွေ့ရှိမှုနှင့် အမြတ်ထုတ်မှု, စာမေးပွဲသုံးသပ်ချက်
XSS သည် သိမ်းဆည်းထားသော XSS နှင့် မည်သို့ကွာခြားသနည်း။
Reflected XSS နှင့် သိမ်းဆည်းထားသော XSS နှစ်မျိုးစလုံးသည် ဝဘ်အက်ပလီကေးရှင်းများကို အပေးအယူလုပ်ရန် တိုက်ခိုက်သူများမှ အသုံးချနိုင်သည့် cross-site scripting (XSS) အားနည်းချက်များဖြစ်သည်။ အချို့သော တူညီမှုများ မျှဝေကြသော်လည်း၊ ၎င်းတို့သည် အန္တရာယ်ရှိသော ပေးဆောင်မှုအား ပေးပို့ခြင်းနှင့် သိမ်းဆည်းပုံတွင် ကွဲပြားသည်။ မတည်မြဲသော သို့မဟုတ် အမျိုးအစား 1 XSS ဟုလည်း လူသိများသော Reflected XSS သည် အန္တရာယ်ရှိသော payload ဖြစ်သည့်အခါ ဖြစ်ပေါ်သည်
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, Cross-site scripting, XSS - ရောင်ပြန်ဟပ်၊ သိမ်းဆည်းထားပြီး DOM, စာမေးပွဲသုံးသပ်ချက်
တူးလ် Zoom သည် WordPress ထည့်သွင်းမှုများအတွက် အသုံးပြုသူအမည်စာရင်းကောက်ယူရာတွင် မည်သို့ကူညီပေးသနည်း။
Zoom သည် web conferencing အတွက် အသုံးများသော tool တစ်ခုဖြစ်သော်လည်း WordPress ထည့်သွင်းမှုများတွင် အသုံးပြုသူအမည်စာရင်းကောက်ယူခြင်းအတွက် တိုက်ခိုက်သူများသည် ၎င်းကို အသုံးချနိုင်သည်။ အသုံးပြုသူအမည်စာရင်းကောက်ယူခြင်းသည် ပစ်မှတ်စနစ်တစ်ခုအတွက် မှန်ကန်သောအသုံးပြုသူအမည်များကို ရှာဖွေတွေ့ရှိခြင်းလုပ်ငန်းစဉ်ဖြစ်ပြီး၊ ထို့နောက်တွင် ရက်စက်ကြမ်းကြုတ်သောစကားဝှက်များကို အတင်းအကြပ်ခိုင်းစေခြင်း သို့မဟုတ် ပစ်မှတ်ထားသော ဖြားယောင်းခြင်းလှုံ့ဆော်မှုများကို စတင်ခြင်းကဲ့သို့သော နောက်ထပ်တိုက်ခိုက်မှုများတွင် အသုံးပြုနိုင်ပါသည်။ ဒီထဲမှာ
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, WordPress, WordPress အားနည်းချက်ကို စကင်န်ဖတ်ခြင်းနှင့် အသုံးပြုသူအမည်စာရင်းကောက်ယူခြင်း။, စာမေးပွဲသုံးသပ်ချက်
Cross-site Request Forgery (CSRF) ဆိုတာ ဘာလဲ၊ တိုက်ခိုက်သူတွေက ဘယ်လို အသုံးချနိုင်မလဲ။
Cross-Site Request Forgery (CSRF) သည် တိုက်ခိုက်သူအား သားကောင်အသုံးပြုသူကိုယ်စား ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်ချက်များကို လုပ်ဆောင်နိုင်စေသည့် ဝဘ်လုံခြုံရေးအားနည်းချက် အမျိုးအစားတစ်ခုဖြစ်သည်။ မလိုလားအပ်သော ဝဘ်ဆိုဒ်တစ်ခုသည် သုံးစွဲသူ၏ဘရောက်ဆာအား အစစ်အမှန်ဟုတ်မှန်ကြောင်း အတည်ပြုထားသည့် ပစ်မှတ်ဝဘ်ဆိုဒ်သို့ တောင်းဆိုချက်တစ်ခုပြုလုပ်ရန် လှည့်ဖြားသောအခါတွင် ဤတိုက်ခိုက်မှုသည် ဖြစ်ပေါ်ပါသည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, လက်တွေ့ကျသော web applications လုံခြုံရေး, ခေတ်မီပလပ်ဖောင်းအင်္ဂါရပ်များဖြင့် ဝဘ်အက်ပလီကေးရှင်းများကို လုံခြုံစေခြင်း။, စာမေးပွဲသုံးသပ်ချက်
ကင်မရာဆက်တင်များနှင့် ဆက်စပ်နေသည့် Zoom ၏ ဒေသတွင်း HTTP ဆာဗာတွင် အားနည်းချက်က အဘယ်နည်း။ ၎င်းသည် တိုက်ခိုက်သူများအား အားနည်းချက်ကို အသုံးချရန် မည်သို့ခွင့်ပြုခဲ့သနည်း။
ကင်မရာဆက်တင်များနှင့်ဆက်စပ်သည့် Zoom ၏ ဒေသတွင်း HTTP ဆာဗာရှိ အားနည်းချက်မှာ တိုက်ခိုက်သူများသည် စနစ်ကို အသုံးချကာ အသုံးပြုသူများ၏ ကင်မရာများကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့် ရရှိစေသည့် အရေးကြီးသော လုံခြုံရေးချို့ယွင်းချက်တစ်ခုဖြစ်သည်။ ဤအားနည်းချက်သည် သုံးစွဲသူ၏ကိုယ်ရေးကိုယ်တာနှင့် လုံခြုံရေးအတွက် သိသာထင်ရှားသော ခြိမ်းခြောက်မှုတစ်ခု ဖြစ်စေခဲ့သည်။ အားနည်းချက်မှာ Zoom ၏ ဒေသတွင်း HTTP ဆာဗာကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, ဆာဗာလုံခြုံရေး, Local HTTP ဆာဗာ လုံခြုံရေး, စာမေးပွဲသုံးသပ်ချက်
အားနည်းချက် CVE-2018-71-60 သည် Node.js တွင် အထောက်အထားစိစစ်ခြင်း ရှောင်ကွင်းခြင်းနှင့် အယောင်ဆောင်ခြင်း နှင့် မည်သို့ဆက်စပ်နေသနည်း။
Node.js ရှိ အားနည်းချက် CVE-2018-7160 သည် အထောက်အထားစိစစ်ခြင်း ရှောင်ကွင်းခြင်းနှင့် အယောင်ဆောင်ခြင်းများနှင့် ဆက်စပ်နေပြီး Node.js အပလီကေးရှင်းများ၏ လုံခြုံရေးကို ပိုမိုကောင်းမွန်လာစေရန် ရည်ရွယ်သည့် အစီအမံများမှတဆင့် ကိုင်တွယ်ဖြေရှင်းခဲ့သည်။ ဤအားနည်းချက်ကို မည်သို့ကိုင်တွယ်ဖြေရှင်းခဲ့သည်ကို နားလည်ရန်အတွက်၊ အားနည်းချက်ကိုယ်တိုင်၏ သဘောသဘာဝကို ဦးစွာနားလည်ရန် အရေးကြီးပါသည်။ CVE-2018-7160 သည် အားနည်းချက်တစ်ခုဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, ဝဘ်လုံခြုံရေးကို စီမံခန့်ခွဲခြင်း။, Node.js ပရောဂျက်ရှိ လုံခြုံရေးဆိုင်ရာ ကိစ္စရပ်များကို စီမံခန့်ခွဲခြင်း။, စာမေးပွဲသုံးသပ်ချက်
Node.js အပလီကေးရှင်းတွင် အားနည်းချက် CVE-2017-14919 ကို အသုံးချခြင်း၏ အလားအလာ သက်ရောက်မှုမှာ အဘယ်နည်း။
Node.js အက်ပလီကေးရှင်းရှိ အားနည်းချက် CVE-2017-14919 သည် အပလီကေးရှင်း၏ လုံခြုံရေးနှင့် လုပ်ဆောင်နိုင်စွမ်းအပေါ် သိသာထင်ရှားသော သက်ရောက်မှုဖြစ်စေနိုင်သည်။ "decompression bomb" ဟုလည်းလူသိများသော ဤအားနည်းချက်သည် 8.8.0 မတိုင်မီ Node.js ဗားရှင်းရှိ zlib module ကို သက်ရောက်မှုရှိသည်။ အချို့သော ချုံ့ထားသောဒေတာကို Node.js ကိုင်တွယ်ရာတွင် ပြဿနာတစ်ခုကြောင့် ဖြစ်ပေါ်လာသည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, ဝဘ်လုံခြုံရေးကို စီမံခန့်ခွဲခြင်း။, Node.js ပရောဂျက်ရှိ လုံခြုံရေးဆိုင်ရာ ကိစ္စရပ်များကို စီမံခန့်ခွဲခြင်း။, စာမေးပွဲသုံးသပ်ချက်
အားနည်းချက် CVE-2017-14919 ကို Node.js တွင် မည်သို့မိတ်ဆက်ခဲ့သနည်း၊ ၎င်းသည် အပလီကေးရှင်းများအပေါ် မည်သို့အကျိုးသက်ရောက်ခဲ့သနည်း။
HTTP/2017 အကောင်အထည်ဖော်မှုသည် အချို့သောတောင်းဆိုမှုများကို ကိုင်တွယ်ရာတွင် ချို့ယွင်းချက်တစ်ခုကြောင့် Node.js ရှိ CVE-14919-2 အားနည်းချက်ကို မိတ်ဆက်ခဲ့သည်။ "http2" module Denial of Service (DoS) အားနည်းချက်ဟုလည်းသိကြသော ဤအားနည်းချက်သည် Node.js ဗားရှင်း 8.x နှင့် 9.x တို့ဖြစ်သည်။ ဤအားနည်းချက်၏ သက်ရောက်မှုသည် အဓိကအားဖြင့် ခွင့်ပြုထားသည့်အတိုင်း သက်ရောက်မှုရှိသော အပလီကေးရှင်းများ ရရှိနိုင်မှုအပေါ်ဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, ဝဘ်လုံခြုံရေးကို စီမံခန့်ခွဲခြင်း။, Node.js ပရောဂျက်ရှိ လုံခြုံရေးဆိုင်ရာ ကိစ္စရပ်များကို စီမံခန့်ခွဲခြင်း။, စာမေးပွဲသုံးသပ်ချက်
SQL Injection ၏ သဘောတရားနှင့် ၎င်းကို တိုက်ခိုက်သူများ မည်ကဲ့သို့ အသုံးချနိုင်သည်ကို ရှင်းပြပါ။
SQL Injection သည် ခွင့်ပြုချက်မရှိဘဲ လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန် သို့မဟုတ် ဒေတာဘေ့စ်မှ အရေးကြီးသော အချက်အလက်များကို ရယူရန်အတွက် တိုက်ခိုက်သူသည် SQL query ၏ ထည့်သွင်းမှုဘောင်များကို ကြိုးကိုင်နိုင်သောအခါတွင် ဖြစ်ပေါ်လာသည့် ဝဘ်အက်ပလီကေးရှင်း အားနည်းချက် အမျိုးအစားတစ်ခုဖြစ်သည်။ ဤအားနည်းချက်သည် အပလီကေးရှင်းမှ အသုံးပြုသူပေးသော ထည့်သွင်းမှုအား မလျော်ကန်စွာ ကိုင်တွယ်ခြင်းကြောင့် ဖြစ်ပေါ်လာသည့် အန္တရာယ်ရှိသော SQL ထုတ်ပြန်ချက်များအား ခွင့်ပြုခြင်း၊
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ, ထိုးနှက်တိုက်ခိုက်ခြင်း။, ကုတ်ထိုး, စာမေးပွဲသုံးသပ်ချက်