Trending:

सूचीकृत नभएका सामाजिक सञ्जाल निष्क्रिय बनाउन मन्त्रालयको निर्देशन ‘फाइभ जी नेटवर्क’ कार्यान्वयन अतिआवश्यक छ : मन्त्री गुरुङ डिशहोम र मेलुङ थकालीबिच साझेदारी, डिशहोम ग्राहकलाई थकाली परिकारमा १०% छुट दिनदिनै दशैं – सामसङ मोबाइलको चाडपर्व अफर, दुईगुना खुशी महिला व्यवसायीको उत्पादन प्रवर्द्धनका लागि ‘डिजिटल हाटबजार एप’ हिमालयन जाभामा एनआईबीएल इक्विटी पार्टनर्सको २८.८ % हिस्सेदारी भिभो भि६० नेपालमा सार्वजनिक वीरगन्जमा टाटा ईभी अटो शो सम्पन्न एलन मस्कको स्पेसएक्स परीक्षणका लागि तयार सीआर सेभेन होरको उपस्थितिमा एसुस एण्ड रोग गेमिंग डेजको आयोजना पोट्र्रेट फोटोग्राफीमा नयाँ अध्याय थप्दै भिभो भि६० फोटोन ईटुनल्याण्ड पिकअप अब सीएटीएल पावरसहित इलेक्ट्रिकमा सामसङले नेपाली उपभोक्ताका लागि क्यूएलइडी टिभीमा भिजन एआई ल्याउँदै नाडा अटो शोमा दिपलको उड्ने ट्याक्सी सार्वजनिक गरिने डिजिटल युगका लागि रेडमी स्मार्टवाच ‘एफपीसीए’लाई सोसाइटी इन्टरनेशनलको आर्थिक सहयोग नेपालमा गुगल म्याप्सको ‘स्ट्रिट भ्यू’ सेवा सुरु, पर्यटनमा नयाँ अध्याय पोखरामा उद्घाटन भयो अत्याधुनिक बीवाईडी शोरूम नाडा अटो शोमा पहिलो पटक ‘उड्ने कार’ प्रदर्शनी हुने इनड्राइभको “राइड मोर, विन मोर” योजना इनफिनिक्सले नेपालमा ल्यायो शक्तिशाली र स्टाइलिश नोट ५०एस ५जी+ स्मार्टफोन मर्मतका लागि सामसुङले ल्यायो सामसुङ मनसुन क्याम्प क्लियर स्याम्पु ब्रान्डद्वारा इङ्लिस प्रिमियर लिग अब नेपाली दर्शकमाझ व्हाट्सएपमा फोटो सेयर अझ सजिलो बनाउन नयाँ सुविधा आउँदै फोर्स गाडी खरिदपछि व्यवसाय धरासायी, डिलरविरुद्ध कानुनी चेतावनी नाइमा मोबिलिटी एक्सपोमा याडियाको ‘भेलाक्स’ सिरिज स्कुटर सार्वजनिक दराज ८.८ सेल्स क्याम्पेनमा भिभोको धमाकेदार डिल्स नयाँ ग्यालेक्सी स्मार्टफोनहरूसँगको आकर्षक मल्टी–बाइ अफर, ग्यालेक्सी बड्स र वाचहरुमा विशेष ३२% सम्मको छुट सामसङ ‘ग्यालेक्सी वाच८’ सिरिज : अल्ट्रा कम्फर्ट र व्यक्तिगत स्वास्थ्यको मेल सामसङ नेपालले ग्यालेक्सी जेड फोल्ड७ र जेड फ्लिप७ को प्रि-अर्डर घोषणा नेपालको पहिलो ‘म्याथ म्युजियम’ : एम्बार्क अनम्याथको एक परिवर्तनकारी पहल ८ तरिका जसले घटाउन सकिन्छ स्क्रिन टाइम के एयरफोनले कान बिगार्छ? टिकटकद्वारा २०२५ को पहिलो त्रैमासिक कम्युनिटी गाइडलाइन्स इन्फोर्समेन्ट रिपोर्ट सार्वजनिक डोङफेङ नामीको चाडपर्व अघि नै विशेष अफर – व्हाई वेट फर द फेस्टिभल? नेपाल टेलिकमको नेटवर्क समस्या समाधान सार्वजनिक स्थानको वाईफाई प्रयोगमा नयाँ नियम: तपाईँको पहुँच र गोपनीयतामा कस्तो असर पर्ला? नेपालकै ठूलो प्रर्दशनी नाइमा नेपाल मोबिलिटी एक्स्पोमा ३५ वटा नयाँ सवारी साधनहरु लन्च हुँदै रिडारा आरडी-६ अब मात्र ९ लाख ९९ हजार डाउन पेमेन्टमा टिकटक बन्यो मिस नेपाल २०२५ को मनोरञ्जन पार्टनर डेबिट कार्डको चिप किन राखिन्छ ? जान्नुहोस् यसको सुरक्षा रहस्य डिशहोमको “३६५ दिन बोनस” योजना सार्वजनिक नेपाली बजारमा सामसुङ ग्यालेक्सी एम३६ फाइभजी सार्वजनिक, इनड्राइभले नेपालमा बाढी र पहिरोबाट पीडितहरूलाई घरहरू हस्तान्तरण गर्यो संस्कृति र खेलकुदको संगमः लुम्बिनी लायन्सको नयाँ लोगो सार्वजनिक ग्लोबल आइएमई बैंकका ग्राहकलाई अन्नपूर्ण न्यूरो अस्पतालमा १० प्रतिशत छुट फाइभ–जी नेटवर्क जतिसक्दो छिटो सञ्चालन गर्न मन्त्री गुरुङको निर्देशन शाओमी पावर बैंकः  सुपर फास्ट, सधैं चार्ज बिश्वब्यापि ब्राण्ड प्रो होण्डा जेनुईन ईन्जिन आयल अब नेपालमा फुडमाण्डुको ‘लाइफ अझै बेटर’ बनाउने प्रतिबद्धता
अपडेट

सुरक्षा अनुसन्धानकर्ताले पत्ता लगाए यान्डेक्स एसएसआरएफको त्रुटि

सुरक्षा अनुसन्धानकर्ताले पत्ता लगाए यान्डेक्स एसएसआरएफको त्रुटि
अ+ अ-
अनुमानित्त पढ्न लग्ने समय 1 मिनेट

रूसी खोज र इन्टरनेट सेवाहरूको विशाल यान्डेक्सले इजिप्टका सुरक्षा अनुसन्धानकर्ता मोमेन अलीले पत्ता लगाएको सम्भावित रूपमा गम्भीर सर्भर-साइड रिक्वेस्ट जालसाजी (एसएसआरएफ) जोखिम समाधान गरेको छ।

अली (उर्फ ‘द साइबरकेटा’) ले यान्डेक्सको पूर्वाधारको व्यवस्थित खोजी पछि भेद्यता पत्ता लगाए।

तिनीहरूले यान्डेक्सको बग बाउन्टी मार्फत जोखिम रिपोर्ट गरे, नोभेम्बर २०२१ को लागि संस्थाको हल अफ फेममा स्थान कमाए पछि समस्या प्रमाणित र यसको विकास टोलीद्वारा समाधान गरिए।
असुरक्षाको समाधानले बग बाउन्टी शिकारको लागि आफ्नो दृष्टिकोण, विभिन्न गुगल डर्कहरू प्रयोग गरेर यान्डेक्सको पूर्वाधारमा सम्भावित लक्ष्यहरू पहिचान गर्नको लागि उनको खोज, र एसएसआरएफ को कमजोरी उसले अन्ततः खुलासा गर्ने बारे प्राविधिक ब्लग पोष्ट प्रकाशित गर्ने बाटो खुला गर्यो।

जोखिमको मूल कारण प्रोक्सी सेवा प्रदायक हेडरमा निर्दिष्ट सेवा प्रदायक नाममा सर्भर फर्वार्डिङ अनुरोधहरू गलत कन्फिगर गरिएको थियो। अलीले आफ्नो लेखनमा वर्णन गरेझैं “एसएसआरएफ एक्ष -फर्वार्ड सेवा प्रदायक जस्ता एहतितिपी हेडरहरू इन्जेक्सन गर्दा भएको हो, त्यसैले मेरो मामलामा एसएसआरएफ एहतितिपी हेडरमा थियो,” ।

अलीले बर्प इन्ट्रुडर, बर्प सहयोगी, र न्यूक्ली टेम्प्लेट स्क्यानरको संयोजन प्रयोग गरी कमजोरी पत्ता लगाउन र प्रमाणित गर्न प्रयोग गर्यो।

सर्भर-साइड मनोरन्जन

सामान्यतया एसएसआरएफ आक्रमणहरूले आक्रमणकर्तालाई सर्भर-साइड अनुप्रयोगलाई आक्रमणकर्ताद्वारा चयन गरिएको डोमेनमा एहतितिपी अनुरोधहरू गर्न, सामान्यतया दुर्भावनापूर्ण उद्देश्यका लागि चलाउन अनुमति दिन्छ।

यो प्राधिकरण प्रमाणहरू बन्द गर्न, केही आक्रमण परिदृश्यहरूमा, वा संगठनको पूर्वाधार भित्र आन्तरिक-मात्र सेवाहरूमा जडान गर्नको लागि सर्भर प्राप्त गर्न सकिन्छ।

यो खबर पढेर तपाईलाई कस्तो महसुस भयो ?