公開兩周的Apache Log4j漏洞,讓全球伺服器管理員疲於奔命忙著修補漏洞及更新軟體。一項研究發現,本漏洞也可能讓包含這項軟體元件的終端機器、或本地主機被遠端執行程式碼。
這是安全廠商Blumira在Log4j軟體的CVE-2021-44228漏洞發現的另一個攻擊管道。原本該漏洞出在Log4j的JNDI API未能驗證由遠端LDAP、或其他端點發送修改過參數的log訊息,讓遠端攻擊者可從LDAP伺服器下載惡意程式碼至受害伺服器執行。這種情況下,主要是執行Jog4j的對外伺服器曝險。
但Blumira團隊發現,攻擊者也可以使用Javascript WebSocket連線來觸發這漏洞,以便在用戶機器上遠端執行程式碼。WebSocket是現代瀏覽器都支援的協定,可用於許多種任務,像是從網站傳送通訊訊息或警示到瀏覽器,讓瀏覽器能快速回覆訊息。
但研究人員指出,WebSocket並不像一般跨域的HTTP請求,受同源政策(same-origin policy)規範,而是需伺服器本身自行驗證呼叫來源。這就可能引發跨網域攻擊,由惡意網站呼叫另一網站的服務。這缺點曾被用在以WebSocket連線傳送惡意呼叫到線纜數據機,或是今天的主角:本地主機。此類攻擊手法也可用來掃瞄本地主機開放的傳輸埠。
用戶端本身一般並不能直接控管WebSocket連線,後者是在網頁下載時悄悄啟動。更糟的是,用戶主機內的WebSocket連線可能很難看到連線內容,使得此類攻擊的偵測更加困難。
企業形象網站.無障礙網頁 / 服務類
響應台灣無障礙的生活的理念,各地輔具中心皆有相關設備提供民眾租借使用以解決生活中的不便利。
網站把主要功能以大區塊的方式呈現,民眾可以快速尋找想要的輔具工具,點選後直接進到申請頁,簡易又明確的流程協助民眾完成租借流程。
網頁設計.RWD響應式網站.企業形象網站 / 教育人文類
網站技術:PHP . Javascript/MySql
當學員完成課程,後續可以登入網站選擇自己的班級與課程再做複習或是進行親子互動。網站也會定期更新課程、相關商品與最新消息。 會員的申請方式需要學員並購買課程,由課程老師建立資料後就可以登入網站練習喔!
CI/平面設計 / 建築設計類
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策