१९ जेष्ठ २०८०, शुक्रबार

सुरक्षा अनुसन्धानकर्ताले पत्ता लगाए यान्डेक्स एसएसआरएफको त्रुटि



रूसी खोज र इन्टरनेट सेवाहरूको विशाल यान्डेक्सले इजिप्टका सुरक्षा अनुसन्धानकर्ता मोमेन अलीले पत्ता लगाएको सम्भावित रूपमा गम्भीर सर्भर-साइड रिक्वेस्ट जालसाजी (एसएसआरएफ) जोखिम समाधान गरेको छ।

अली (उर्फ ‘द साइबरकेटा’) ले यान्डेक्सको पूर्वाधारको व्यवस्थित खोजी पछि भेद्यता पत्ता लगाए।

तिनीहरूले यान्डेक्सको बग बाउन्टी मार्फत जोखिम रिपोर्ट गरे, नोभेम्बर २०२१ को लागि संस्थाको हल अफ फेममा स्थान कमाए पछि समस्या प्रमाणित र यसको विकास टोलीद्वारा समाधान गरिए।
असुरक्षाको समाधानले बग बाउन्टी शिकारको लागि आफ्नो दृष्टिकोण, विभिन्न गुगल डर्कहरू प्रयोग गरेर यान्डेक्सको पूर्वाधारमा सम्भावित लक्ष्यहरू पहिचान गर्नको लागि उनको खोज, र एसएसआरएफ को कमजोरी उसले अन्ततः खुलासा गर्ने बारे प्राविधिक ब्लग पोष्ट प्रकाशित गर्ने बाटो खुला गर्यो।

जोखिमको मूल कारण प्रोक्सी सेवा प्रदायक हेडरमा निर्दिष्ट सेवा प्रदायक नाममा सर्भर फर्वार्डिङ अनुरोधहरू गलत कन्फिगर गरिएको थियो। अलीले आफ्नो लेखनमा वर्णन गरेझैं “एसएसआरएफ एक्ष -फर्वार्ड सेवा प्रदायक जस्ता एहतितिपी हेडरहरू इन्जेक्सन गर्दा भएको हो, त्यसैले मेरो मामलामा एसएसआरएफ एहतितिपी हेडरमा थियो,” ।

अलीले बर्प इन्ट्रुडर, बर्प सहयोगी, र न्यूक्ली टेम्प्लेट स्क्यानरको संयोजन प्रयोग गरी कमजोरी पत्ता लगाउन र प्रमाणित गर्न प्रयोग गर्यो।

सर्भर-साइड मनोरन्जन

सामान्यतया एसएसआरएफ आक्रमणहरूले आक्रमणकर्तालाई सर्भर-साइड अनुप्रयोगलाई आक्रमणकर्ताद्वारा चयन गरिएको डोमेनमा एहतितिपी अनुरोधहरू गर्न, सामान्यतया दुर्भावनापूर्ण उद्देश्यका लागि चलाउन अनुमति दिन्छ।

यो प्राधिकरण प्रमाणहरू बन्द गर्न, केही आक्रमण परिदृश्यहरूमा, वा संगठनको पूर्वाधार भित्र आन्तरिक-मात्र सेवाहरूमा जडान गर्नको लागि सर्भर प्राप्त गर्न सकिन्छ।


१८ जेठ, काठमाडाैँ । नेपाल र भारतका डिजिटल वालेट तथा क्यूआर कोड एकअर्को देशमा

१६ जेठ, काठमाडाैँ । विदेशमा अध्ययन गर्न जाने विद्यार्थीले नेपालमा विदेशी मुद्रा सहटी गर्दा

१५  जेठ, काठमाडाैँ । आइतबार सार्वजनिक भएको आर्थिक सर्वेक्षण २०७९/८० अनुसार पछिल्ला वर्षमा वित्तीय पहुँच

१५ जेठ, लुम्बिनी। बुटवलदेखि पाल्पाको वसन्तपुर जोड्ने गरी निर्माण भएको लुम्बिनी केबुलकार सोमबारदेखि व्यावसायिक रुपले