Header ads

Header ads
» » » Trình soạn thảo FCKeditor là một trong những cách phổ biến của Hacker tấn công Website

Học viện đào tạo trực tuyến Thứ Sáu, 19 tháng 1, 2018 0 No comments

Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách, sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ Webdav. Đây là những lỗ hổng mà chính nhóm hacker đã từng sử dụng để tấn công nhiều website của Việt Nam trong năm 2014.

Với các lỗ hổng này có thể tin tặc đã sử dụng các công cụ tấn công tự động, nhằm tấn công được số lượng website rất lớn trong khoảng thời gian ngắn.

FCKeditor (còn gọi là CKEditor) là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các web site mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.

Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKEditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thưc mục, phân quyền thực thi trong các thưc mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.

Để khắc phụ lỗi này, quản trị website nên thực hiện các công việc sau

  1. Xóa các thưc mục upload test trên website.
  2. Cấu hình phân quyền thư mục, phân quyền thực thi theo kiểu file trong thư mục upload.
  3. Hoặc có thể cập nhật phiên bản mới của FCKEditor tại đây: http://ckeditor.com/
  4. Bạn cũng có thể khắc phục thủ công bằng cách thay đổi trực tiếp mã nguồn trong tệp tin upload.php. Thay đổi ‘sCurrentFolder = GetCurrentFolder()’ thành ‘sCurrentFolder = “/”’.





Đối với lỗ hổng trong dịch vụ WebDAV là một tập hợp các mở rộng cho giao thức HTTP dùng để cung cấp một cách thức chuẩn cho việc biên tập và quản lý file giữa các máy tính trên Internet. Người quản trị có thể thêm, xóa, chỉnh sửa, … các file trực tiếp trên máy chủ web một cách dễ dàng. WebDAV chứa một số lỗi như: WebDAV Remote Code Execution cho phép ghi file, bypass authentication hay cả Buffer Overflow trong Win2000… Khai thác lỗi này kẻ tấn công có thể vượt qua cơ chế bảo vệ để liệt kê thư mục, file; đọc file, tạo file.. qua các phương thức PUT, DELETE.





Để đảm bảo an ninh cho website của mình, các quản trị viên cần vô hiệu hóa phương thức PUT của WebDAV. Trường hợp vẫn có nhu cầu tải file lên website thì cần sử dụng một plugin khác thay thế WebDAV hoặc sử dụng các giao thức như FTP, sFTP.

Để trở thành Hacker mũ trắng bạn có thể tham gia khóa học tại đây

Topics:

About Học viện đào tạo trực tuyến

Xinh chào bạn. Tôi là Đinh Anh Tuấn - Thạc sĩ CNTT. Email: dinhanhtuan68@gmail.com .
- Nhận đào tạo trực tuyến lập trình dành cho nhà quản lý, kế toán bằng Foxpro, Access 2010, Excel, Macro Excel, Macro Word, chứng chỉ MOS cao cấp, IC3, tiếng anh, phần mềm, phần cứng .
- Nhận thiết kế phần mềm quản lý, Web, Web ứng dụng, quản lý, bán hàng,... Nhận Thiết kế bài giảng điện tử, số hóa tài liệu...
HỌC VIỆN ĐÀO TẠO TRỰC TUYẾN:TẬN TÂM-CHẤT LƯỢNG.
«
Next
Bài đăng Mới hơn
»
Previous
Bài đăng Cũ hơn
HỌC VIỆN ĐÀO TẠO TRỰC TUYẾN-TẬN TÂM-CHẤT LƯỢNG © 2014. All Rights Reserved.

Designed by dinhanhtuan68@gmail.com Tel: 098 909 5293