জ্যাপিয়ারের দ্বারা কোডে জটিল দুর্বলতা প্রকাশ: জেনিটি #ZAPESCAPE

Zenity, no-code এবং low-code ডেভেলপমেন্টের জন্য নিরাপত্তা শাসনে অগ্রগামী, তারা Zapier এর কোড-এ আবিষ্কৃত একটি সমালোচনামূলক স্যান্ডবক্স-এস্কেপ দুর্বলতা প্রচার করেছে। #ZAPESCAPE নামক এই ত্রুটিটি আক্রমণকারীদের একটি প্রতিষ্ঠানের কার্যকরী পরিবেশের উপর পূর্ণ নিয়ন্ত্রণ দিতে পারত, সম্ভাব্যভাবে তাদের ফলাফল ম্যানিপুলেট করতে এবং সংবেদনশীল তথ্য চুরি করার সুযোগ দিতে পারত।

Zenity নিরাপত্তা গবেষণা দল 2022 সালের মার্চের মাঝামাঝি কোড বাই Zapier এর মধ্যে দুর্বলতা খুঁজে পেয়েছিল, একটি Zapier দ্বারা Zap-এর অংশ হিসাবে কাস্টম কোড চালানোর জন্য ব্যবহৃত একটি পরিষেবা। #ZAPESCAPE ব্যবহার করা একজন ব্যবহারকারীকে একজন অ্যাডমিনের কাস্টম কোড কার্যকর করার পরিবেশের উপর নিয়ন্ত্রণ দখল করতে সক্ষম করতে পারে। উপরন্তু, শোষণ একটি ব্যবহারকারীর ব্যক্তিগত ফোল্ডারের মাধ্যমে সঞ্চালিত হতে পারে, যা প্রশাসকদের কাছে অ্যাক্সেসযোগ্য নয়, শনাক্ত করা যায় না।

Michael Bargury, Zenity সহ-প্রতিষ্ঠাতা এবং সিটিও, বলেছেন, "আমাদের দল দ্বারা আবিষ্কৃত দুর্বলতা যেকোনও Zapier ব্যবহারকারীকে তাদের পুরো প্রতিষ্ঠানের পরিবেশের উপর সম্পূর্ণ নিয়ন্ত্রণ নিতে দেয়। একজন ব্যবহারকারী অ্যাডমিনের জ্যাপগুলি পড়তে এবং এমনকি ম্যানিপুলেট করতে পারে, এবং অ্যাডমিন এটা সম্পর্কে জানার কোন উপায় নেই।"

Zapier এর নিরাপত্তা দল আসন্ন এবং সমস্যা সমাধানে তাৎক্ষণিক হয়েছে, যা এখন সম্পূর্ণভাবে প্রশমিত হয়েছে। এই প্রকাশটি Zapier দলের সাথে সমন্বয় করা হয়েছে, এবং Zenity নিশ্চিত করে যে দুর্বলতা সম্পূর্ণভাবে প্রশমিত হয়েছে। যাইহোক, 17 আগস্ট, 2022 এর আগে Zapier ব্যবহারকারীদের অ্যাকাউন্টের কোড ব্যবহার করা যেতে পারে।

বারগুরি যোগ করেছেন যে যদিও Zapier একটি সুরক্ষিত প্ল্যাটফর্ম, তবে কোনও প্ল্যাটফর্ম দুর্বলতার থেকে অনাক্রম্য নয়। একটি Zap তৈরি করার সময়, ব্যবহারকারীদের অবশ্যই প্ল্যাটফর্মের উপরে যা তৈরি করে তা সুরক্ষিত করার দায়িত্ব নিতে হবে, কারণ no-code ডেভেলপমেন্ট এখনও বিকাশ এবং এর জন্য শেয়ার করা দায়িত্বের মডেল মেনে চলা প্রয়োজন।

নো-কোড/ low-code অ্যাপ্লিকেশন, ইন্টিগ্রেশন এবং অটোমেশনের জন্য প্রথম এবং একমাত্র নিরাপত্তা শাসন প্ল্যাটফর্ম হিসাবে, Zenity একটি অপরিহার্য পরিষেবা প্রদান করে। AppMaster মতো নো-কোড/ low-code প্ল্যাটফর্মের উত্থানের সাথে, পেশাদার এবং নাগরিক উভয় বিকাশকারীই ব্যাপক কোডিং জ্ঞান ছাড়াই কাস্টমাইজড সফ্টওয়্যার সমাধান তৈরি করতে পারে। যাইহোক, পর্যাপ্তভাবে পরিচালিত এবং পরিচালিত না হলে এই সুবিধাটি সম্ভাব্য নিরাপত্তা ঝুঁকি নিয়ে আসে।

Zenity আইটি এবং নিরাপত্তা পেশাদারদের তাদের নো-কোড/ low-code এস্টেটের উপর ব্যাপক দৃশ্যমানতা এবং নিয়ন্ত্রণ করতে সক্ষম করে। এটি তাদের সম্ভাব্য দুর্বলতাগুলি দূর করতে এবং উন্নয়নের জন্য আরও নিরাপদ পদ্ধতি গ্রহণ করতে দেয়। প্ল্যাটফর্মটি সম্পূর্ণ নো-কোড/ low-code লাইফসাইকেল জুড়ে নিরাপত্তা নীতি প্রয়োগ করার জন্য ক্রস-প্ল্যাটফর্ম ইনভেন্টরি, ক্রমাগত ঝুঁকি মূল্যায়ন, স্বয়ংক্রিয় প্রতিকার ক্রিয়া এবং গভর্নেন্স প্লেবুকের মতো বৈশিষ্ট্যগুলি অফার করে।

প্রাক্তন Microsoft সাইবারসিকিউরিটি নেতা এবং বিশেষজ্ঞ, Ben Kliger এবং Michael Bargury দ্বারা প্রতিষ্ঠিত, Zenity আইটি বিকেন্দ্রীকরণের জন্য নিরাপত্তা শাসনের একটি নেতা। কোম্পানিটি ফরচুন 500 কর্পোরেশন সহ বড় উদ্যোগের সাথে কাজ করে এবং OWASP শীর্ষ 10 লো-কোড/ No-Code নিরাপত্তা ঝুঁকি গ্রুপের নেতৃত্ব দেয়।