Trending:

सामसङको ‘बिस्पोक एआई फ्रन्ट–लोड वासिङ मेसिन नेपाली बजारमा इसेवा वालेटमा रहेको पैसा अब एनआईसी एसिया बैंकको एटीएमबाट पनि निकाल्न मिल्ने छ खुट्टा भएको रोबट कुकुरको अन्टार्कटिकामा परीक्षण स्कोडा नेपालको फाइनान्सिङ योजना सार्वजनिक टिकटक किन्न एलन मस्कले देखाएनन् इच्छा सामाजिक सञ्जाल विधेयक राष्ट्रियसभामा पेस, विधेयकमा के-के छन् ? चीनले सन् २०२५ ‘ग्लोबल डेभलपर सम्मेलन’ आयोजना गर्ने प्रधानमन्त्रीसँग टिकटकरहरुको भेट : पुनः सञ्चालनप्रति प्रशन्नता विद्युतीय व्यापार विधेयकसम्बन्धी समितिको प्रतिवेदन पेस डिजिटल भुक्तानीमा लगाएको भ्याट खारेज गर्न सांसद डाँगीको माग ‘वनप्लस १३’ नेपाली बजारमा भृकुटीमण्डपमा ‘क्यान इन्फोटेक’ शुरू यस वर्षभित्र ‘आइटिपार्क’ बनाउछौँ : सञ्चारमन्त्री गुरुङ नेपालमा सामाजिक सञ्जाल दर्ता नभए प्रतिबन्ध गर्ने सञ्चारमन्त्रीको चेतावनी नेपाल टेलिकमले कमायो ६ अर्ब २३ करोड मुनाफा नेपाल टेलिकमको ई-सिम अनलाइनबाटै लिन सकिने चीनको डिपसिकविरुद्ध मुद्दा हाल्ने ‘कुनै योजना छैन : अल्टम्यान अन्तर्राष्ट्रिय सामाजिक सञ्जाल कम्पनी सूचीकरण गर्न मन्त्रालयको सूचना क्यानडामाथि थप कर लगाउने ट्रम्पको चेतावनी ओमोडा एण्ड जेइकोको नयाँ शोरुम बसुन्धारामा विस्तार, कुलमान घिसिङद्वारा उद्घाटन टाटा नेक्सनको नयाँ मोडल ‘नेक्सन केथ्री’ सार्वजनिक माघ २४ गतेदेखि क्यान इन्फोटेक दक्षिण कोरियाको नियामक निकायले प्रयोगकर्ताको डाटाबारे डिपसिकसँग सोधपुछ गर्ने सीजी मोटर्सद्वारा वीरगन्जमा ईभी ब्रान्ड लन्च अमेरिकी संसदमा डिपसिक प्रयोगमा प्रतिबन्ध आइफोनको विक्री घट्यो नासाका दुई अन्तरिक्षयात्रीले गरे पहिलोपटक एकसाथ स्पेस वाक मन्त्री गुरुङले भने “आइटी क्षेत्रबाटै रोजगार सुनिश्चित गर्ने आधार सिर्जना गर्छौं” सिप्रदी एप विद्यालय र अभिभावकमाझ लोकप्रिय बन्दै सामसङ एस–२५ सिरिज नेपालमा प्रि–बुकिङ सुरू फेक आईडीबाट भ्रामक सूचना सम्प्रेषण गरे ५ वर्षसम्म कैद डिपसिकको ‘स्पुतनिक क्षण’ले अमेरिकी चिप प्रतिबन्धमा रहेका कमजोरी उजागर सामसङले घटायो ग्यालेक्सी ‘एस २४ अल्ट्रा’ यस्तो छ नयाँ मूल्यसूची विश्वकै पहिलो ‘ट्रान्सफर्मर एसयुभी’ दिपल ई ०७ नेपालमा सार्वजनिक चीनको चर्चित एआई च्याटबट डिपसिकप्रति अस्ट्रेलिया चिन्तित विश्वकै सबैभन्दा ठूलो टेलिस्कोप प्रकाश प्रदूषणको चपेटामा सीजी मोटर्सद्वारा नेपालमा आयन भी सार्वजनिक सरकारी कर्मचारीलाई साइबर सुरक्षा सम्बन्धी एडभाइजरी जारी भारतमा बीवाईडी सी लायन ७ सार्वजनिक, यस्ता छन् फिचर इसेवा १६ औँ वर्षमा प्रवेश, थपिए यस्ता सुविधा निकोनको जेड ५० टू क्यामेरा नेपाली बजारमा केई एक्स–३ प्रो अब ९९ किलोवाटमा, सुरुवाती मूल्य कति ? सामसङ ग्यालेक्सी एस २५ सिरिज सार्वजनिक, मूल्य कति ? आईएमई पेमा रकम प्राप्त गर्दा ५ सय रुपैयाँ बोनस माउन्टेन इभी र टिएमआई प्रयोगकर्ताका लागि विशेष अफर सामाजिक सञ्जालमा कडाइ गर्ने सरकारको तयारी, विधेयक संसदमा ल्याउँदै गण्डकी प्रदेशमा चिनियाँ दूतावासद्वारा स्मार्ट कक्षा शुरु चाबहिलमा खुल्यो ओमोडा र जेकुको शोरूम घरमै बसेर एकैदिनमा कम्पनी र भ्याट दर्ता गराउने तयारी बन्द भएको १२ घण्टा पनि नबित्दै अमेरिकामा फेरि चल्न थाल्यो टिकटक
अपडेट

सुरक्षा अनुसन्धानकर्ताले पत्ता लगाए यान्डेक्स एसएसआरएफको त्रुटि

सुरक्षा अनुसन्धानकर्ताले पत्ता लगाए यान्डेक्स एसएसआरएफको त्रुटि
अ+ अ-
अनुमानित्त पढ्न लग्ने समय 1 मिनेट

रूसी खोज र इन्टरनेट सेवाहरूको विशाल यान्डेक्सले इजिप्टका सुरक्षा अनुसन्धानकर्ता मोमेन अलीले पत्ता लगाएको सम्भावित रूपमा गम्भीर सर्भर-साइड रिक्वेस्ट जालसाजी (एसएसआरएफ) जोखिम समाधान गरेको छ।

अली (उर्फ ‘द साइबरकेटा’) ले यान्डेक्सको पूर्वाधारको व्यवस्थित खोजी पछि भेद्यता पत्ता लगाए।

तिनीहरूले यान्डेक्सको बग बाउन्टी मार्फत जोखिम रिपोर्ट गरे, नोभेम्बर २०२१ को लागि संस्थाको हल अफ फेममा स्थान कमाए पछि समस्या प्रमाणित र यसको विकास टोलीद्वारा समाधान गरिए।
असुरक्षाको समाधानले बग बाउन्टी शिकारको लागि आफ्नो दृष्टिकोण, विभिन्न गुगल डर्कहरू प्रयोग गरेर यान्डेक्सको पूर्वाधारमा सम्भावित लक्ष्यहरू पहिचान गर्नको लागि उनको खोज, र एसएसआरएफ को कमजोरी उसले अन्ततः खुलासा गर्ने बारे प्राविधिक ब्लग पोष्ट प्रकाशित गर्ने बाटो खुला गर्यो।

जोखिमको मूल कारण प्रोक्सी सेवा प्रदायक हेडरमा निर्दिष्ट सेवा प्रदायक नाममा सर्भर फर्वार्डिङ अनुरोधहरू गलत कन्फिगर गरिएको थियो। अलीले आफ्नो लेखनमा वर्णन गरेझैं “एसएसआरएफ एक्ष -फर्वार्ड सेवा प्रदायक जस्ता एहतितिपी हेडरहरू इन्जेक्सन गर्दा भएको हो, त्यसैले मेरो मामलामा एसएसआरएफ एहतितिपी हेडरमा थियो,” ।

अलीले बर्प इन्ट्रुडर, बर्प सहयोगी, र न्यूक्ली टेम्प्लेट स्क्यानरको संयोजन प्रयोग गरी कमजोरी पत्ता लगाउन र प्रमाणित गर्न प्रयोग गर्यो।

सर्भर-साइड मनोरन्जन

सामान्यतया एसएसआरएफ आक्रमणहरूले आक्रमणकर्तालाई सर्भर-साइड अनुप्रयोगलाई आक्रमणकर्ताद्वारा चयन गरिएको डोमेनमा एहतितिपी अनुरोधहरू गर्न, सामान्यतया दुर्भावनापूर्ण उद्देश्यका लागि चलाउन अनुमति दिन्छ।

यो प्राधिकरण प्रमाणहरू बन्द गर्न, केही आक्रमण परिदृश्यहरूमा, वा संगठनको पूर्वाधार भित्र आन्तरिक-मात्र सेवाहरूमा जडान गर्नको लागि सर्भर प्राप्त गर्न सकिन्छ।

यो खबर पढेर तपाईलाई कस्तो महसुस भयो ?