জনপ্রিয় সহযোগিতা পণ্য জিম্ব্রা আছে গ্রাহকদের সতর্ক করা হয়েছে একটি নিরাপত্তা গর্ত বন্ধ করার জন্য একটি সফ্টওয়্যার প্যাচ জরুরীভাবে প্রয়োগ করুন যা এটি বলে "সম্ভাব্যভাবে আপনার ডেটার গোপনীয়তা এবং অখণ্ডতা প্রভাবিত করতে পারে।"
দুর্বলতা হল XSS বাগ নামে পরিচিত, যার জন্য সংক্ষিপ্ত ক্রস-সাইট স্ক্রিপ্টিং, যেখানে সাইট X-এর মাধ্যমে একটি নির্দোষ-সুদর্শন অপারেশন সম্পাদন করা, যেমন সাইট Y-এ ক্লিক করা, সাইট X-এর অপারেটরকে সেই ওয়েব পৃষ্ঠাগুলিতে দুর্বৃত্ত জাভাস্ক্রিপ্ট কোড ইমপ্লান্ট করার একটি গোপন সুযোগ দেয় যা আপনার ব্রাউজার Y থেকে ফিরে পায়।
এর মানে হল, X আপনার অ্যাকাউন্টের বিশদ বিবরণ, লগইন কুকি, প্রমাণীকরণ টোকেন, লেনদেনের ইতিহাসের মতো Y-এর জন্য ব্যক্তিগত হতে পারে এমন ডেটা পড়ে এবং সম্ভবত এমন ডেটা পরিবর্তন করে Y সাইটে আপনার অ্যাকাউন্টে অ্যাক্সেস পেতে পারে। , এবং তাই।
সংক্ষিপ্ত রূপ XSS একটি স্ব-বর্ণনামূলক নাম, কারণ দুর্বৃত্তরা মূলত একটি সাইট থেকে অন্য সাইটের অন্যথায়-বিশ্বস্ত সামগ্রীতে অবিশ্বস্ত স্ক্রিপ্টগুলিকে ঠেলে দেয়...
…সবই অন্য সাইটের এইচটিএমএল ফাইল বা জাভাস্ক্রিপ্ট কোড সরাসরি হ্যাক করার জন্য আগে থেকে প্রবেশ করার প্রয়োজন ছাড়াই।
প্যাচ করা হয়েছে কিন্তু প্রকাশিত হয়নি
যদিও বাগটি এখন জিমব্রার কোডে প্যাচ করা হয়েছে এবং সংস্থাটি বলেছে "এটি জুলাই রিলিজে এই ফিক্স প্রয়োগ করেছে", এটি এখনও সেই সংস্করণটি প্রকাশ করেনি৷
কিন্তু প্যাচটি এখনই প্রয়োজনের জন্য যথেষ্ট জরুরী বলে প্রমাণিত হয়েছে, কারণ এটি একটি তে দেখা গেছে বাস্তব জীবনের সাইবার আক্রমণ Google-এর একজন নিরাপত্তা গবেষক দ্বারা।
যে এটি একটি ভীতিকর করে তোলে শূন্য দিন শোষণ, জার্গন শব্দটি নিরাপত্তা গর্তের জন্য ব্যবহৃত হয় যা খারাপ ছেলেরা প্রথমে খুঁজে পায় এবং নিজেদের কাছে রাখে।
তাই জিমব্রা তার গ্রাহকদের সতর্ক করেছে যে তারা নিজেরাই হাত দিয়ে ফিক্স প্রয়োগ করতে, যার জন্য পণ্যের ইনস্টলেশন ডিরেক্টরিতে একটি একক ডেটা ফাইলে একটি একক-লাইন সম্পাদনা প্রয়োজন।
জিমব্রা নেকেড সিকিউরিটির নিজস্ব রাইমিং অনুস্মারকটি পুরোপুরি ব্যবহার করেনি দেরি করবেন না/আজই করুন, কিন্তু copmany এর প্রযুক্তিবিদরা তাদের নিজেদের মধ্যে একই স্তরের জরুরী সাথে কিছু বলেছেন সরকারী নিরাপত্তা বুলেটিন:
পদক্ষেপ গ্রহণ করুন. ম্যানুয়ালি ফিক্স প্রয়োগ করুন।
আমরা বুঝতে পারি যে আপনি আপনার ডেটা সুরক্ষিত করার জন্য দেরি না করে তাড়াতাড়ি ব্যবস্থা নিতে চাইতে পারেন।
সর্বোচ্চ স্তরের নিরাপত্তা বজায় রাখতে, আমরা আপনার সমস্ত মেলবক্স নোডগুলিতে ম্যানুয়ালি ফিক্স প্রয়োগ করার জন্য আপনার সহযোগিতার অনুরোধ করছি৷
XSS ব্যাখ্যা করেছেন
সহজ কথায় বলতে গেলে, XSS আক্রমণে সাধারণত একটি সার্ভারকে একটি ওয়েব পেজ তৈরি করতে প্রতারণা করা হয় যে বিশ্বস্তভাবে বাইরে থেকে জমা দেওয়া তথ্য অন্তর্ভুক্ত, ডাটা সরাসরি ব্যবহারকারীর ব্রাউজারে পাঠানো নিরাপদ কিনা তা পরীক্ষা না করেই।
এটি প্রথমে যতটা কৌতূহলী (বা অসম্ভাব্য) মনে হতে পারে, মনে রাখবেন যে আপনার ব্রাউজারে ইনপুট পুনরাবৃত্তি করা বা প্রতিফলিত হওয়া সম্পূর্ণ স্বাভাবিক, উদাহরণস্বরূপ যখন একটি সাইট আপনার প্রবেশ করা ডেটা নিশ্চিত করতে চায় বা একটি ফলাফলের প্রতিবেদন করতে চায় অনুসন্ধান
আপনি যদি একটি শপিং সাইট ব্রাউজ করছেন, উদাহরণস্বরূপ, এবং আপনি দেখতে চান যে তাদের কাছে বিক্রয়ের জন্য কোনো পবিত্র গ্রিল আছে কিনা, আপনি টাইপ করার আশা করবেন Holy Grail
একটি অনুসন্ধান বাক্সে, যা শেষ পর্যন্ত এইরকম একটি URL-এ সাইটে জমা দেওয়া হতে পারে:
https://example.com/search/?product=Holy%20Grail
(ইউআরএলগুলিতে স্পেস থাকতে পারে না, তাই শব্দগুলির মধ্যে স্পেস অক্ষরটি আপনার ব্রাউজার দ্বারা রূপান্তরিত হয় %20
, যেখানে 20 হল হেক্সাডেসিমেলে স্থানের জন্য ASCII কোড।)
এবং আপনি ফিরে আসা পৃষ্ঠায় একই শব্দের পুনরাবৃত্তি দেখে অবাক হবেন না, উদাহরণস্বরূপ:
আপনি অনুসন্ধান করেছেন: হলি গ্রেইল দুঃখিত। আমাদের কোনো স্টক নেই।
এখন কল্পনা করুন যে আপনি একটি উদ্ভট-নামযুক্ত পণ্য অনুসন্ধান করার চেষ্টা করেছেন যাকে বলা হয় Holy<br>Grail
পরিবর্তে, শুধু কি ঘটেছে দেখতে.
আপনি যদি এরকম কিছু পেজ ফিরে পান...
আপনি অনুসন্ধান করেছেন: হলি গ্রেইল দুঃখিত। আমাদের কোনো স্টক নেই।
…আপনি যা আশা করবেন তার পরিবর্তে, যথা...
আপনি অনুসন্ধান করেছেন: পবিত্র গ্রেইল দুঃখিত. আমাদের কোনো স্টক নেই।
…তাহলে আপনি অবিলম্বে জানতে পারবেন যে অন্য প্রান্তের সার্ভারটি তথাকথিত "বিশেষ" অক্ষরগুলির সাথে অসতর্ক ছিল যেমন <
(এর চেয়ে কম চিহ্ন) এবং >
(থেকে বড় সাইন), যা HTML কমান্ড নির্দিষ্ট করতে ব্যবহৃত হয়, শুধুমাত্র HTML ডেটা নয়।
এইচটিএমএল সিকোয়েন্স <br>
এর আক্ষরিক অর্থ "পাঠ্য প্রদর্শন করা" নয় ছোট-এর চেয়ে চিহ্ন-খ চিঠি-আর-এর চেয়ে বড় চিহ্ন", কিন্তু পরিবর্তে একটি HTML ট্যাগ, বা কমান্ড, যার মানে "এই পয়েন্টে একটি লাইন বিরতি সন্নিবেশ করান"।
একটি সার্ভার যেটি আপনার ব্রাউজারকে স্ক্রিনে প্রিন্ট করার জন্য কম সাইন পাঠাতে চায় তাকে বিশেষ ক্রম ব্যবহার করতে হবে <
পরিবর্তে. (আপনি কল্পনা করতে পারেন এমন চিহ্নের চেয়ে বৃহত্তর, হিসাবে এনকোড করা হয়েছে >
.)
অবশ্যই, এর অর্থ হল অ্যাম্পারস্যান্ড চরিত্র (&
) এরও একটি বিশেষ অর্থ রয়েছে, তাই অ্যাম্পারস্যান্ড-টু-বি-প্রিন্ট-আউট হিসাবে এনকোড করতে হবে &
, ডবল-উদ্ধৃতি চিহ্ন সহ ("
) এবং একক-উদ্ধৃতি বা apostrophe চিহ্ন ('
).
বাস্তব জীবনে, ক্রস-সাইট-স্ক্রিপ্টেবল আউটপুট কৌশলের সমস্যাটি "অধিকাংশ নিরীহ" HTML কমান্ড যেমন <br>
, যা পৃষ্ঠা বিন্যাস ব্যাহত করে, কিন্তু বিপজ্জনক HTML ট্যাগ যেমন <script>
, যা আপনাকে সরাসরি ওয়েব পৃষ্ঠাতেই জাভাস্ক্রিপ্ট কোড এম্বেড করতে দেয়।
একবার আপনি লক্ষ্য করেছেন যে একটি সাইট অনুসন্ধান পরিচালনা করে না <br>
সঠিকভাবে, আপনার পরবর্তী প্রচেষ্টার মত কিছু অনুসন্ধান করা হতে পারে Holy<script>alert('Ooops')</script>Grail
পরিবর্তে.
যদি সেই সার্চ টার্মটি সঠিকভাবে ফেরত দেওয়া হয় যেমন আপনি এটি প্রথম স্থানে পাঠিয়েছেন, প্রভাবটি জাভাস্ক্রিপ্ট ফাংশন চালানো হবে alert()
এবং আপনার ব্রাউজারে একটি বার্তা পপ আপ করার জন্য Ooops
.
আপনি কল্পনা করতে পারেন, বদমাশরা যারা আবিষ্কার করে কিভাবে ট্রায়ালের সাথে ওয়েবসাইটগুলিকে বিষাক্ত করা যায় alert()
পপআপগুলি দ্রুত তাদের নতুন পাওয়া XSS হোল ব্যবহার করে অনেক বেশি বিভ্রান্তিকর অপারেশন করতে স্যুইচ করে।
এর মধ্যে আপনার অ্যাকাউন্টের সাথে প্রাসঙ্গিক ডেটা পুনরুদ্ধার বা সংশোধন করা, বার্তা পাঠানো বা আপনার নামে অ্যাকশন অনুমোদন করা এবং সম্ভবত প্রমাণীকরণ কুকিজ দখল করা অন্তর্ভুক্ত থাকতে পারে যা পরে অপরাধীরা নিজেরাই সরাসরি আপনার অ্যাকাউন্টে লগ ইন করতে দেবে।
ঘটনাক্রমে, জিমব্রা প্রোডাক্ট ডিরেক্টরিতে আপনাকে যে এক-লাইন প্যাচটি প্রয়োগ করার জন্য অনুরোধ করা হয়েছে তাতে একটি বিল্ট-ইন ওয়েব ফর্ম থেকে একটি আইটেম পরিবর্তন করা জড়িত…
…একটি নিরাপদ বিন্যাসে, যাতে value
ক্ষেত্র (যা আপনার ব্রাউজারে পাঠ্য হিসাবে পাঠানো হবে কিন্তু কখনই দেখানো হবে না, তাই সাইটটি অ্যাক্সেস করার সময় আপনি জানতেও পারবেন না যে এটি সেখানে আছে) নিম্নরূপ তৈরি করা হয়েছে:
এই নতুন-লুক লাইনটি সার্ভারকে বলে (যা জাভাতে লেখা) নিরাপত্তা-সচেতন জাভা ফাংশন প্রয়োগ করতে escapeXml()
মান st
ক্ষেত্র প্রথম।
আপনি সম্ভবত অনুমান করেছেন হিসাবে, escapeXml()
যে কোনো অবশিষ্টাংশ নিশ্চিত করে <
, >
, &
, "
এবং '
একটি টেক্সট স্ট্রিং এর অক্ষর তাদের সঠিক এবং XSS-প্রতিরোধী বিন্যাসে পুনরায় লেখা হয়, ব্যবহার করে <
, >
, &
, "
এবং '
পরিবর্তে.
নিরাপত্তাই প্রথমে!
কি করো?
অনুসরণ করা হ্যান্ড প্যাচিং নির্দেশাবলী জিমব্রার ওয়েবসাইটে।
আমরা ধরে নিচ্ছি যে কোম্পানীগুলি তাদের নিজস্ব জিমব্রা ইন্সট্যান্স চালায় (অথবা অন্য কাউকে তাদের পক্ষে চালানোর জন্য অর্থ প্রদান করে) প্যাচটি সম্পাদন করার জন্য প্রযুক্তিগতভাবে জটিল খুঁজে পাবে না এবং তাদের জন্য এটি করার জন্য দ্রুত একটি কাস্টম স্ক্রিপ্ট বা প্রোগ্রাম তৈরি করবে।
শুধু আপনার প্রয়োজন যে ভুলবেন না প্যাচিং প্রক্রিয়া পুনরাবৃত্তি করুন, যেমন জিমব্রা আপনাকে মনে করিয়ে দেয়, আপনার সমস্ত মেলবক্স নোডগুলিতে.
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- : আছে
- : হয়
- :না
- :কোথায়
- $ ইউপি
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- পরম
- প্রবেশ
- অ্যাক্সেস করা
- হিসাব
- দিয়ে
- কর্ম
- স্টক
- আগাম
- সব
- অনুমতি
- বরাবর
- amp
- an
- এবং
- অন্য
- কোন
- ফলিত
- প্রয়োগ করা
- রয়েছি
- AS
- At
- আক্রমন
- প্রমাণীকরণ
- লেখক
- গাড়ী
- দূরে
- পিছনে
- পটভূমি চিত্র
- খারাপ
- BE
- কারণ
- হয়েছে
- পক্ষ
- হচ্ছে
- মধ্যে
- সীমান্ত
- পাদ
- বক্স
- বিরতি
- ব্রাউজার
- ব্রাউজিং
- নম
- বিল্ট-ইন
- কিন্তু
- by
- নামক
- মাংস
- CAN
- কেন্দ্র
- সুযোগ
- পরিবর্তন
- চরিত্র
- অক্ষর
- পরীক্ষণ
- ঘনিষ্ঠ
- কোড
- সহযোগিতা
- রঙ
- কোম্পানি
- কোম্পানি
- জটিল
- গোপনীয়তা
- নিশ্চিত করা
- ধারণ করা
- বিষয়বস্তু
- ধর্মান্তরিত
- বিস্কুট
- সহযোগিতা
- ঠিক
- পথ
- আবরণ
- সৃষ্টি
- যুদ্ধাপরাধীদের
- অদ্ভুত
- প্রথা
- গ্রাহকদের
- বিপজ্জনক
- উপাত্ত
- বিস্তারিত
- সরাসরি
- আবিষ্কার করা
- প্রদর্শন
- do
- না
- ডন
- Dont
- প্রভাব
- আর
- বসান
- শেষ
- যথেষ্ট
- নিশ্চিত
- প্রবিষ্ট
- মূলত
- এমন কি
- উদাহরণ
- আশা করা
- ক্ষেত্র
- ফাইল
- নথি পত্র
- আবিষ্কার
- প্রথম
- ঠিক করা
- অনুসরণ
- জন্য
- ফর্ম
- বিন্যাস
- থেকে
- ক্রিয়া
- উৎপাদিত
- দেয়
- গুগল
- অনুমান করা
- টাট্টু ঘোড়া
- ছিল
- হাত
- হাতল
- ঘটেছিলো
- আছে
- উচ্চতা
- গোপন
- সর্বোচ্চ
- ইতিহাস
- রাখা
- গর্ত
- গর্ত
- বাতাসে ভাসিতে থাকা
- কিভাবে
- কিভাবে
- এইচটিএমএল
- HTTPS দ্বারা
- if
- কল্পনা করা
- অবিলম্বে
- প্রভাব
- in
- অন্তর্ভুক্ত করা
- অন্তর্ভুক্ত
- ইনপুট
- স্থাপন
- উদাহরণ
- পরিবর্তে
- অখণ্ডতা
- মধ্যে
- জড়িত করা
- IT
- এর
- নিজেই
- অপভাষা
- জাভা
- জাভাস্ক্রিপ্ট
- জুলাই
- মাত্র
- রাখা
- জানা
- পরিচিত
- পরে
- বিন্যাস
- বাম
- দিন
- উচ্চতা
- জীবন
- মত
- লাইন
- লগ ইন করুন
- লগইন
- বজায় রাখা
- তৈরি করে
- ম্যানুয়ালি
- মার্জিন
- সর্বোচ্চ প্রস্থ
- মে..
- অর্থ
- মানে
- নিছক
- বার্তা
- বার্তা
- হতে পারে
- অধিক
- অনেক
- নাম
- প্রয়োজন
- প্রয়োজন
- প্রয়োজন
- চাহিদা
- না
- পরবর্তী
- নোড
- সাধারণ
- এখন
- of
- on
- ONE
- অপারেশন
- অপারেশনস
- অপারেটর
- or
- অন্যান্য
- অন্যভাবে
- বাইরে
- আউটপুট
- শেষ
- নিজের
- পৃষ্ঠা
- পেজ
- তালি
- প্যাচিং
- পল
- বেতন
- সম্পাদন করা
- করণ
- সম্ভবত
- জায়গা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- বিষ
- পপ
- অবস্থান
- পোস্ট
- সম্ভাব্য
- অবিকল
- প্রিন্ট
- ব্যক্তিগত
- সম্ভবত
- সমস্যা
- পণ্য
- কার্যক্রম
- সঠিকভাবে
- রক্ষা করা
- প্রকাশিত
- ঠেলাঠেলি
- করা
- দ্রুত
- বরং
- পড়া
- বাস্তব
- বাস্তব জীবন
- পায়
- উপর
- প্রাসঙ্গিক
- মনে রাখা
- পুনরাবৃত্ত
- রিপোর্ট
- অনুরোধ
- প্রয়োজন
- গবেষক
- ফলাফল
- অধিকার
- চালান
- নিরাপদ
- নিরাপদ
- বলেছেন
- বিক্রয়
- একই
- উক্তি
- বলেছেন
- স্ক্রিন
- স্ক্রিপ্ট
- সার্চ
- অনুসন্ধানের
- নিরাপত্তা
- দেখ
- পাঠান
- পাঠানোর
- প্রেরিত
- ক্রম
- কেনাকাটা
- সংক্ষিপ্ত
- প্রদর্শিত
- চিহ্ন
- স্বাক্ষর
- একক
- সাইট
- গোপন
- So
- সফটওয়্যার
- কঠিন
- কেউ
- কিছু
- শব্দ
- স্থান
- শূণ্যস্থান
- প্রশিক্ষণ
- স্টক
- স্ট্রিং
- পেশ
- এমন
- অনুসরণ
- বিস্মিত
- করা SVG
- সুইচ
- TAG
- গ্রহণ করা
- টেকনিক্যালি
- বলে
- মেয়াদ
- চেয়ে
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- নিজেদের
- সেখানে।
- অতএব
- তারা
- এই
- দ্বারা
- থেকে
- টোকেন
- অত্যধিক
- শীর্ষ
- লেনদেন
- রূপান্তর
- স্বচ্ছ
- পরীক্ষা
- চেষ্টা
- চালু
- পালা
- আদর্শ
- বোঝা
- অসম্ভাব্য
- চাড়া
- জরুরী
- URL টি
- ব্যবহার
- ব্যবহৃত
- ব্যবহার
- সাধারণত
- মূল্য
- সংস্করণ
- খুব
- মাধ্যমে
- দুর্বলতা
- প্রয়োজন
- চেয়েছিলেন
- চায়
- সতর্কবার্তা
- ছিল
- we
- ওয়েব
- ওয়েবসাইট
- ওয়েবসাইট
- ছিল
- কি
- কখন
- যে
- যখন
- হু
- প্রস্থ
- ইচ্ছা
- সঙ্গে
- ছাড়া
- শব্দ
- would
- লিখিত
- X
- পদ্ধতি এটা XSS
- এখনো
- আপনি
- আপনার
- zephyrnet