Trending:

नेपाल टेलिकमको ‘मनसुन अफर’ सार्वजनिक युट्युबले हटाउँदैछ ‘ट्रेन्डिङ’ सेक्सन, नयाँ चार्ट प्रणाली ल्याउने तयारी हिमालयन एभरेष्ट इन्स्योरेन्सले पायो दुईवटा प्रतिष्ठित अन्तर्राष्ट्रिय अवार्ड जुलाई १५ देखि युट्युबको नयाँ नीति लागू: मौलिक सामग्री नहुँदा मोनिटाइजेशन बन्द विद्युत् प्राधिकरणद्वारा सात चार्जिङ स्टेसनलाई थप बजेट, १ करोडभन्दा बढी विनियोजन सीजी इलेक्ट्रोनिक्सद्वारा ‘मेरिडिया ५५ इन्च क्यूएलईडी काराओके टीभी’ सार्वजनिक एलन मस्कको स्टारलिंक स्याटेलाइट सेवालाई श्रीलंकाको स्विकृति डिशहोमद्वारा ‘भर्चुअल प्रिभिलेज कार्ड’ सार्वजनिक भैसेपाटीमा युवालाई आत्मनिर्भर बनाउने उद्देश्यसहित इभि वितरण कार्यक्रम सम्पन्न ग्लोबल आइएमई क्यापिटलको “समुन्नत योजना २” म्युचुअल फन्ड असार २२ गतेदेखि निष्काशनमा , सस्तो, सुरक्षित र व्यावसायिक लगानीको अवसर बेलायती कम्पनीहरूलाई नेपालमा लगानी गर्न महासंघ अध्यक्ष ढकालको आग्रह सन् २०२६ मा कोलम्बियामा हुने अल्टरनेटिभा फिल्म फेस्टिभलकालागि एसियाली आवेदन खुल्ला हुम्लाका तीन स्थानीय तहका विभिन्न बस्तीमा टेलिफोन सेवा अवरुद्ध पृथ्वी नजिक सर्ने प्रमुख क्षुद्रग्रहहरू: जोखिम, अनुसन्धान र अन्तरिक्ष मिशनको प्रगति इभीमार्फत १००० युवालाई स्वरोजगार अवसर एस्टन मार्टिन अराम्को र रियलमीको सहकार्यमा पहिलो पटक को-ब्रान्डेड स्मार्टफोन सार्वजनिक टिएम१ का १ सय भन्दा बढी युनिटहरू सडकमा गुड्दै:नेपालको फेवरेट कमर्सियल ईभीको महत्वपूर्ण उपलब्धि शार्क ट्याङ्क नेपालको पहिलो सिजनको ‘पावर्ड बाइ’ प्रायोजक बन्यो टीभीएस अपाचे एलएस अटोको नयाँ अल ह्वील ड्राइभ ‘एलईभी-एक्स’ नेपालमा चाँडै सार्वजनिक हुँदै फोनपे सँगको सहकार्यमा कुमारी बैंकको भर्चुअल क्रेडिट कार्ड सेवा सार्वजनिक एसईई २०८१ को नतिजा अब सिधै मोबाइलमा उपलब्ध विदेशमा रहेका नेपालीको लागि दुईवटा मोबाईल एप सञ्चालनमा डेभलपर्सका लागि गुगलको नयाँ टूल ‘जेमिनाई सीएलआई’ सार्वजनिक खल्तीले सुरु गर्‍यो ‘स्मार्ट डिपोजिट’ नेपालगञ्जमा हुन्डाईको नयाँ क्रेटा ईभी सार्वजनिक ग्लोबल आइएमई बैंकका ग्राहकलाई आइएमई हस्पिटालिटी र इला होटल एण्ड रिसोर्टका सेवाहरुमा १५ प्रतिशतसम्म छुट इन्फिनिक्सको गेमिङ स्मार्टफोन ‘जीटी ३० प्रो’ नेपाली बजारमा भव्य रूपमा सार्वजनिक फोटोन टुनल्याण्ड जि ७: २३ दिनमा ८ अग्ला र कठिन भूभाग पार गर्ने विश्वको पहिलो पिकअपको नेपालमा आधिकारिक सुरुवात बीवाईडी डल्फिन २०२५ नेपालमा सार्वजनिक हिमालयन एभरेष्ट इन्स्योरेन्सकी सिईओ अन्जु श्रेष्ठ सम्मानित त्रिविका १० सेवा अब अनलाइनमार्फत उपलब्ध हिमालयन एभरेष्टद्वारा ग्रामीण कृषकका लागि बीमा सचेतना कार्यक्रम सरकारको चेतावनी बेवास्ता गर्दै मेटा नेपालमा अझै दर्ता भएन आईएमई डिजिटल र खल्ती मर्ज, अब ‘आईएमई खल्ती लिमिटेड’ बिल्ट फर हिमालयज, फोटोन टुनल्यान्ड जी ७ अब नेपालमा डेब्यु गर्न तयार लक्जरी ईभीको नयाँ लाइनअप सँगै सेरेसको बिक्री दोहोरो अंकले वृद्धि गोल्छा ग्रुपद्वारा प्रस्तुत ग्लोकल टीन हिरो नेपाल २०२५ को लागि आवेदन आह्वान ग्राहकले बुझाउनुपर्ने छैन पहिलो ६ महिनाको मासिक किस्ता पोखरामा यामाहा ब्लू फेस्ट २०८२ को सुरुवात – असार १ देखि ६ गतेसम्म चल्ने ११ महिनामा १० खर्ब २७ अर्ब राजस्व संकलन भिभो नेपालद्वारा ‘न्यानो नानी’ अभियान सुरु लुलाङमा टेलिकमको मोबाइल फोन सेवा विस्तार नवीन प्रविधि, आकर्षक डिजाइन र गेमिङ अनुभवको नवीन प्रयोग रुसको नयाँ एपले भुक्तानीदेखि शिक्षासम्मका सेवा दिने एनसेलले भने :फाइभजी तत्काल सम्भव छैन “निफ्रा ग्रीन इनर्जी बोन्ड ६% – २०८८/८९” को बाँडफाँड सफलतापूर्वक सम्पन्न दिपलले पार ग-यो ५ लाख युनिट डेलिभरीको कोशेढुंगा टुनल्याण्ड जी सेभेनको ऐतिहासिक यात्रा: ८ दुर्गम गन्तव्य, २३ दिन र एक विश्व रेकर्ड एमजी कमेट ईभी नेपाली बजारमा सार्वजनिक एप्पलको नयाँ अपडेट: आईओएस २६ सार्वजनिक
अपडेट

सुरक्षा अनुसन्धानकर्ताले पत्ता लगाए यान्डेक्स एसएसआरएफको त्रुटि

सुरक्षा अनुसन्धानकर्ताले पत्ता लगाए यान्डेक्स एसएसआरएफको त्रुटि
अ+ अ-
अनुमानित्त पढ्न लग्ने समय 1 मिनेट

रूसी खोज र इन्टरनेट सेवाहरूको विशाल यान्डेक्सले इजिप्टका सुरक्षा अनुसन्धानकर्ता मोमेन अलीले पत्ता लगाएको सम्भावित रूपमा गम्भीर सर्भर-साइड रिक्वेस्ट जालसाजी (एसएसआरएफ) जोखिम समाधान गरेको छ।

अली (उर्फ ‘द साइबरकेटा’) ले यान्डेक्सको पूर्वाधारको व्यवस्थित खोजी पछि भेद्यता पत्ता लगाए।

तिनीहरूले यान्डेक्सको बग बाउन्टी मार्फत जोखिम रिपोर्ट गरे, नोभेम्बर २०२१ को लागि संस्थाको हल अफ फेममा स्थान कमाए पछि समस्या प्रमाणित र यसको विकास टोलीद्वारा समाधान गरिए।
असुरक्षाको समाधानले बग बाउन्टी शिकारको लागि आफ्नो दृष्टिकोण, विभिन्न गुगल डर्कहरू प्रयोग गरेर यान्डेक्सको पूर्वाधारमा सम्भावित लक्ष्यहरू पहिचान गर्नको लागि उनको खोज, र एसएसआरएफ को कमजोरी उसले अन्ततः खुलासा गर्ने बारे प्राविधिक ब्लग पोष्ट प्रकाशित गर्ने बाटो खुला गर्यो।

जोखिमको मूल कारण प्रोक्सी सेवा प्रदायक हेडरमा निर्दिष्ट सेवा प्रदायक नाममा सर्भर फर्वार्डिङ अनुरोधहरू गलत कन्फिगर गरिएको थियो। अलीले आफ्नो लेखनमा वर्णन गरेझैं “एसएसआरएफ एक्ष -फर्वार्ड सेवा प्रदायक जस्ता एहतितिपी हेडरहरू इन्जेक्सन गर्दा भएको हो, त्यसैले मेरो मामलामा एसएसआरएफ एहतितिपी हेडरमा थियो,” ।

अलीले बर्प इन्ट्रुडर, बर्प सहयोगी, र न्यूक्ली टेम्प्लेट स्क्यानरको संयोजन प्रयोग गरी कमजोरी पत्ता लगाउन र प्रमाणित गर्न प्रयोग गर्यो।

सर्भर-साइड मनोरन्जन

सामान्यतया एसएसआरएफ आक्रमणहरूले आक्रमणकर्तालाई सर्भर-साइड अनुप्रयोगलाई आक्रमणकर्ताद्वारा चयन गरिएको डोमेनमा एहतितिपी अनुरोधहरू गर्न, सामान्यतया दुर्भावनापूर्ण उद्देश्यका लागि चलाउन अनुमति दिन्छ।

यो प्राधिकरण प्रमाणहरू बन्द गर्न, केही आक्रमण परिदृश्यहरूमा, वा संगठनको पूर्वाधार भित्र आन्तरिक-मात्र सेवाहरूमा जडान गर्नको लागि सर्भर प्राप्त गर्न सकिन्छ।

यो खबर पढेर तपाईलाई कस्तो महसुस भयो ?