User Tag List

+ Trả lời chủ đề
Hiện kết quả từ 1 tới 2 của 2

Chủ đề: Lỗi bảo mật nghiêm trọng của Joomla! 1.6, 1.7 và 2.5.0 - 2.5.2

  1. #1
    [ -~] Avatar của bino1810
    Tham gia ngày
    Mar 2012
    Bài gửi
    424

    Mặc định Lỗi bảo mật nghiêm trọng của Joomla! 1.6, 1.7 và 2.5.0 - 2.5.2

    Năm 2008, bản Joomla! 1.5.6 trở về trước bị một lỗi bảo mật nghiêm trọng khiến tin tặc có thể chiếm quyền quản trị trong Joomla!. Gần đây, bản Joomla! 1.6 1.7 và 2.5.0 đến 2.5.2 cũng bị dính lỗi nghiêm trọng như vậy.

    Do cách khai thác dễ dàng nên lỗi bảo mật của Joomla 1.5.6 đã được thông báo rộng rãi đến người sử dụng Joomla trong nước. Tuy nhiên với lỗi bảo mật mới nhất thì người dùng trong nước hầu như không để ý mặc dù trên blog của Jeff Channell đã thông báo từ hơn 3 tháng trước: ngày 15/3/2012. Chính vì vậy thời gian gần đây trên các diễn đàn bảo mật, xuất hiện nhiều hướng dẫn khai thác lỗi bảo mật này, thậm chí nhiều người còn xây dựng những công cụ nhằm tự động hoa quá trình khai thác lỗi bảo mật.


    Với lỗi mới nhất này, hacker chỉ cần truy cập vào địa chỉ:

    index.phpoption=com_users&view=registration (Joomla! 2.5)
    index.php?option=com_user&view=register (Joomla! 1.x)

    để đăng kí tài khoản với quyền quản trị (administrator) bằng vài thủ thuật nhỏ.

    Cụ thể, kẻ xấu có thể khai thác lỗi bằng cách sử dụng các tiện ích dành cho trình duyệt Firefox hoặc Chrome, chèn thêm vào form đăng kí của Joomla đoạn code sau:

    <input name="jform[groups][]" value="7" />

    Sau đó, bằng cách cố tình đăng nhập lỗi (ghi sai mật khẩu hay captcha) để hệ thống lưu giá trị group này vào phiên làm việc và trong lần đăng kí ngay sau đó sẽ đăng kí thành công với quyền hạn cao nhất. Với tài khoản mang quyền quản trị cao nhất này, có thể sử dụng để đăng nhập vào trang quản trị (thông thường là /administrator/, tải mã mã độc và leo thang đặc quyền chiếm cả máy chủ.

    Như vậy những website hội tụ đầy đủ những yếu tố sau sẽ bị hack:

    - Sử dụng Joomla! phiên bản 1.6, 1.7 hoặc 2.5.0 - 2.5.2.
    - Cho phép đăng kí thành viên.
    - Để lộ địa chỉ trang quản trị.

    Nếu chưa kịp cập nhật lên phiên bản mới, bạn cần ngay lập tức tắt đăng kí thành viên, rà soát xem website đã bị tấn công qua lỗ hổng này chưa. Cách khắc phục tốt nhất là làm sạch toàn bộ code sau đó hãy nâng cấp lên bản mới nhất, nếu nâng cấp khi chưa làm sạch code thì nguy cơ website của bạn bị tấn công trong tương lai vẫn còn vì rất có thể website đã bị chèn mã độc.

    Rất nhiều website của các trường đại học, công ty và cơ quan nhà nước ở Việt Nam vẫn dùng các phiên bản Joomla! 1.6 hoặc 1.7 chưa được vá lỗi, những website này thường là tự xây dựng hoặc thuê các công ty thiết kế web xây dựng, nhiều khi chủ website còn không biết gì về Joomla! chính vì thế việc nâng cấp gần như bị bỏ qua sau khi website thiết kế xong và đưa vào sử dụng. Những website thế này đều có thể bị hack bất cứ lúc nào.

    Chú ý rằng các phiên bản 1.6 và 1.7 không còn được hỗ trợ. Hoặc bạn dùng bản 1.5 mới nhất, hoặc nâng cấp lên 2.5 mới nhất.

    Lỗi bảo mật nghiêm trọng này khiến Joomla! phải liên tiếp tung ra các bản nâng cấp chỉ trong vài tuần, việc này đã gây mệt mỏi không nhỏ cho những nhà phát triển thứ cấp.

    Theo JeffChannell

    Nguồn: http://www.thongtincongnghe.com/article/36041
    http://jeffchannell.com/Joomla/jooml...erability.html
    SVBK.VN Kết nối bạn bè - Bách Khoa tụ hội

  2. #2
    .:: Grumpy svBKer ::. Avatar của 1973
    Tham gia ngày
    Mar 2010
    Bài gửi
    3.793

    Mặc định Re: Lỗi bảo mật nghiêm trọng của Joomla! 1.6, 1.7 và 2.5.0 - 2.5.2

    Hôm nọ cũng thử cài add-on để khai thác lỗi này nhưng không thành công
    Contact me:
    Email: sangnd [at] svBK.vn
    Personal website: My Blog | Chat với người lạ
    Facebook Page của Bách Khoa Forum: http://www.facebook.com/svbk.vn

+ Trả lời chủ đề

Thông tin chủ đề

Users Browsing this Thread

Hiện có 1 người đọc bài này. (0 thành viên và 1 khách)

Chủ đề tương tự

  1. Cùng tìm hiểu về Joomla ;)
    Gửi bởi chickenboy trong mục Joomla - Mambo - NukeViet
    Trả lời: 0
    Bài cuối: 04-01-2010, 11:25 AM
  2. Tuyển lập trình viên PHP & Joomla
    Gửi bởi vag_hr trong mục Việc tìm người
    Trả lời: 0
    Bài cuối: 17-11-2009, 02:19 PM
  3. bộ gõ tiếng việt cho joomla 1.5
    Gửi bởi dong_ki_sot1024 trong mục Webmaster Club
    Trả lời: 1
    Bài cuối: 17-08-2008, 06:45 PM

Từ khóa (Tag) của chủ đề này

Quyền viết bài

  • Bạn không thể gửi chủ đề mới
  • Bạn không thể gửi trả lời
  • Bạn không thể gửi file đính kèm
  • Bạn không thể sửa bài viết của mình


About svBK.VN

    Bách Khoa Forum - Diễn đàn thảo luận chung của sinh viên ĐH Bách Khoa Hà Nội. Nơi giao lưu giữa sinh viên - cựu sinh viên - giảng viên của trường.

Follow us on

Twitter Facebook youtube