![]() |
#1 |
R9 Tuyệt Đỉnh Tôn Sư
![]() Join Date: Mar 2008
Posts: 43,284
Thanks: 1
Thanked 1,011 Times in 489 Posts
Mentioned: 0 Post(s)
Tagged: 0 Thread(s)
Quoted: 0 Post(s)
Rep Power: 60 ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
![]()
Năm 2008, bản Joomla! 1.5.6 trở về trước bị một lỗi bảo mật nghiêm trọng khiến tin tặc có thể chiếm quyền quản trị trong Joomla!. Gần đây, bản Joomla! 1.6 1.7 và 2.5.0 đến 2.5.2 cũng bị dính lỗi nghiêm trọng như vậy.
Do cách khai thác dễ dàng nên lỗi bảo mật của Joomla 1.5.6 đă được thông báo rộng răi đến người sử dụng Joomla trong nước. Tuy nhiên với lỗi bảo mật mới nhất th́ người dùng trong nước hầu như không để ư mặc dù trên blog của Jeff Channell đă thông báo từ hơn 3 tháng trước: ngày 15/3/2012. Chính v́ vậy thời gian gần đây trên các diễn đàn bảo mật, xuất hiện nhiều hướng dẫn khai thác lỗi bảo mật này, thậm chí nhiều người c̣n xây dựng những công cụ nhằm tự động hoa quá tŕnh khai thác lỗi bảo mật. Với lỗi mới nhất này, hacker chỉ cần truy cập vào địa chỉ index.php?option=com_users&view=registration (Joomla! 2.5) hoặc index.php?option=com_user&view=register (Joomla! 1.x) để đăng kí tài khoản với quyền quản trị (administrator) bằng vài thủ thuật nhỏ. Cụ thể, kẻ xấu có thể khai thác lỗi bằng cách sử dụng các tiện ích dành cho tŕnh duyệt Firefox hoặc Chrome, chèn thêm vào form đăng kí của Joomla đoạn code sau: Sau đó, bằng cách cố t́nh đăng nhập lỗi (ghi sai mật khẩu hay captcha) để hệ thống lưu giá trị group này vào phiên làm việc và trong lần đăng kí ngay sau đó sẽ đăng kí thành công với quyền hạn cao nhất. Với tài khoản mang quyền quản trị cao nhất này, có thể sử dụng để đăng nhập vào trang quản trị (thông thường là /administrator/, tải mă mă độc và leo thang đặc quyền chiếm cả máy chủ. Như vậy những website hội tụ đầy đủ những yếu tố sau sẽ bị hack:
Rất nhiều website của các trường đại học, công ty và cơ quan nhà nước ở Việt Nam vẫn dùng các phiên bản Joomla! 1.6 hoặc 1.7 chưa được vá lỗi, những website này thường là tự xây dựng hoặc thuê các công ty thiết kế web xây dựng, nhiều khi chủ website c̣n không biết ǵ về Joomla! chính v́ thế việc nâng cấp gần như bị bỏ qua sau khi website thiết kế xong và đưa vào sử dụng. Những website thế này đều có thể bị hack bất cứ lúc nào. Chú ư rằng các phiên bản 1.6 và 1.7 không c̣n được hỗ trợ. Hoặc bạn dùng bản 1.5 mới nhất, hoặc nâng cấp lên 2.5 mới nhất. Lỗi bảo mật nghiêm trọng này khiến Joomla! phải liên tiếp tung ra các bản nâng cấp chỉ trong vài tuần, việc này đă gây mệt mỏi không nhỏ cho những nhà phát triển thứ cấp. Theo JeffChannell |
![]() |
|
![]() Phim Bộ Sốt Nhất 1 Tháng qua |
![]() Phim Bộ Sốt Nhất 2 Tháng qua |
![]() Phim Bộ Sốt Nhất 3 Tháng qua |
![]() Phim Bộ Sốt Nhất 6 Tháng qua |
![]() Phim Bộ Sốt Nhất 1 Năm qua |
Diễn Đàn Người Việt Hải Ngoại. Tự do ngôn luận, an toàn và uy tín. V́ một tương lai tươi đẹp cho các thế hệ Việt Nam hăy ghé thăm chúng tôi, hăy tâm sự với chúng tôi mỗi ngày, mỗi giờ và mỗi giây phút có thể. VietBF.Com Xin cám ơn các bạn, chúc tất cả các bạn vui vẻ và gặp nhiều may mắn. |