Четверг, 28 мая, 04:37
дома инет Уязвимость в поддоменах Yahoo, Microsoft и Orange

Уязвимость в поддоменах Yahoo, Microsoft и Orange

Исследователь безопасности Ebrahim Hegazy обнаружил уязвимость, которая позволяла удаленно внедрять код в свои поддомены Yahooиз Microsoft и Оранжевая, К счастью, разрыв в безопасности уже был определен техническими специалистами компании.

Yahoo Admin

Эксперт обнаружил этот недостаток, проанализировав поддомен Yahoo в Мексике (mx.horoscopo.yahoo.net). Этот поддомен обнаружил панель администрирования, к которой можно получить доступ без учетных данных для входа. Исследователь назвал эту уязвимость «несанкционированным доступом администратора» или «неавторизованным доступом администратора» или «косвенной ссылкой на объект»

С этой открытой панели Hegazy удалось загрузить собственный файл aspx на сервер. Эти файлы могут содержать код, который позволит злоумышленнику выполнить произвольный код, говорят эксперты в своем блоге. Однако файл был загружен для исследовательских целей и содержал только одну строку.

Узнав об этой уязвимости, он попытался изучить другие сибдомены Yahoo. К своему удивлению, он обнаружил, что уязвимость существует не только в поддоменах Yahoo, но также в поддоменах MSN Microsoft и французской телекоммуникационной компании Orange.

"Шокирующая вещь в том, что я не загружал / не создавал свою страницу ни в одном домене, чтобы сделать хороший POC! Я только что создал эту страницу в одном из доменов (pe.horoscopo.yahoo.net, ar.horoscopo.yahoo.net, co.horoscopo.yahoo.net, cl.horoscopo.yahoo.net, astrocentro.latino.msn.com Yahoo!, astrologia.latino.msn.com, horoscopo.es.msn.com, horoscopos.prodigy.msn.com и astrocentro.mujer.orange.es) обнаружили, что моя страница создана на всех сайтах размещены на одном сервере Yahoo, MSN, Orange и другие », - говорит исследователь.

«Представьте себе, что вы используете эту уязвимость хакеров из черной шляпы, создавая встроенную страницу iframed со злонамеренным контентом в таких высококлассных доменах, как Yahoo.net, MSN.com и Orange.es».

Исследователь сообщил о своих выводах в Microsoft, Yahoo и Orange. Orange не ответил на объявление, в то время как Yahoo решила наградить эксперта.

Для получения дополнительной технической информации об уязвимости, посетить сайт Hegazy.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

LIVE NEWS

Linux Kodachi: версия v7.0 была выпущена со многими новыми приложениями

Недавно была выпущена новая версия Linux Kodachi. Хотя эта функция не очень известна ...

Безопасность в облаке: усилить атаки на онлайн-сервисы

В последние месяцы атаки киберпространства, нацеленные на облачные сервисы, значительно усилились, поскольку киберпреступники пытаются ...

Ransomware: выкуп, требуемый хакерами, увеличился в 14 раз

Ransomware стал одной из самых коварных угроз за последние два года, когда хакеры усиливают свою деятельность ...

Новая поправка для онлайн-наблюдения за американцами!

После трех дней переговоров члены парламента достигли соглашения о защите частной жизни американских граждан. Поправка ...

Дональд Трамп против Твиттера или Твиттер против Дональда Трампа?

Во вторник Twitter указал на два твита Дональда Трампа, в которых утверждалось, что голосование по почте может ...

Приложение Aarogya Setu Индии с открытым исходным кодом

Индия недавно объявила, что выпустит исходный код приложения для мониторинга короны, известного как ...

Samsung разрабатывает новый чип безопасности для смартфонов

Как было объявлено во вторник, Samsung выпустила новую микросхему защищенного элемента (SE) для более эффективной защиты ...

Красный Крест: «Давайте прекратим кибератаки в больницах»

Красный Крест и другие организации призывают правительства создать альянс, чтобы остановить кибератаки в больницах.

LiveJournal: миллионы пользовательских учетных данных продаются в темной сети

Учетные данные и данные от 26 миллионов пользователей LiveJournal продаются в Интернете и в темной сети.

Линус Торвальдс обновил свой компьютер до процессора AMD

Когда-то для многих пользователей процессоры AMD уступали процессорам Intel. С...