MangVN
Chia sẻ thành công, kết nối đam mê
Một số site sử dụng NukeViet bị dính lỗi bảo mật do sửa module News tùy tiện.
Do "bắt chước" tính năng Thảo luận (comment) bài viết trong Module News của bản NukeVN, nhiều người đã làm theo hướng dẫn chỉnh sửa code vô tội vạ mà không kiểm tra xem việc sửa chữa đó có an toàn hay không. Nếu bạn đã từng thêm tính năng Gửi thảo luận ở Module News vào site của bạn thì bạn nên xem lại.
Số là nhiều người sử dụng đã "chia sẻ" cho nhau một đoạn code nhằm thêm tính năng hiển thị thảo luận ở cuối bài viết của Module News của NukeViet. Không may là đoạn cdoe này vướng phải lỗi bảo mật do bỏ qua hoàn toàn các chế độ kiểm duyệt của hệ thống NukeViet.
Thông thường, trước khi nhập liệu vào CSDL, hệ thống phải kiểm soát tính hợp lệ của dữ liệu được nhận từ các form. Với phần thảo luận của News, cần phải kiểm duyệt: Hệ thống có cho phép thành viên gửi bài viết hay không, Module News có cho phép thảo luận hay không, Bài viết cụ thể XYZ có cho phép thảo luận hay không, Ai được phép thảo luận: tất cả hay chỉ có thành viên; dữ liệu nhập vào có hợp lệ hay không... Thế mà, đoạn mã trên đã bỏ qua tất cả các "cửa ải" cần thiết trước khi cho phép "đăng đàn". - Anhtu nói.
Ngày 31 Tháng 5 2008, anhtu - Admin diễn đàn NukeViet.VN - đã phát hiện ra lỗi này khi trợ giúp một thành viên sử dụng NukeViet. Khi đó, đã có khá nhiều site sử dụng đoạn code này, đa phần là các site sử dụng bản NukeVN.
Anhtu khuyến cáo:
- Các bạn viết hướng dẫn hay đưa các blocks, modules lên diễn đàn phải cân nhắc thật cẩn thận, chú ý cao độ đến tính bảo mật chứ đừng nhìn thấy "có kết quả" là vội mừng, bỏ qua các đòi hỏi khác.
- Các bạn download các blocks, modules do thành viên đưa lên diễn đàn hay thực hiện theo hướng dẫn của người khác chưa qua kiểm duyệt phải rà soát thật kỹ càng; kiểm tra "sâu bọ"... Hãy thử nghiệm trước trên localhost; Thường xuyên ghé thăm topic mà bạn đã download files hay xem hướng dẫn. Khi thấy thực sự ổn định, lúc đó mới mạnh dạn đưa lên site.
Thông tin chi tiết về lỗi này có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=58&t=3319
Hướng dẫn vá lỗi có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=47&t=3320
Thông thường, trước khi nhập liệu vào CSDL, hệ thống phải kiểm soát tính hợp lệ của dữ liệu được nhận từ các form. Với phần thảo luận của News, cần phải kiểm duyệt: Hệ thống có cho phép thành viên gửi bài viết hay không, Module News có cho phép thảo luận hay không, Bài viết cụ thể XYZ có cho phép thảo luận hay không, Ai được phép thảo luận: tất cả hay chỉ có thành viên; dữ liệu nhập vào có hợp lệ hay không... Thế mà, đoạn mã trên đã bỏ qua tất cả các "cửa ải" cần thiết trước khi cho phép "đăng đàn". - Anhtu nói.
Ngày 31 Tháng 5 2008, anhtu - Admin diễn đàn NukeViet.VN - đã phát hiện ra lỗi này khi trợ giúp một thành viên sử dụng NukeViet. Khi đó, đã có khá nhiều site sử dụng đoạn code này, đa phần là các site sử dụng bản NukeVN.
Anhtu khuyến cáo:
- Các bạn viết hướng dẫn hay đưa các blocks, modules lên diễn đàn phải cân nhắc thật cẩn thận, chú ý cao độ đến tính bảo mật chứ đừng nhìn thấy "có kết quả" là vội mừng, bỏ qua các đòi hỏi khác.
- Các bạn download các blocks, modules do thành viên đưa lên diễn đàn hay thực hiện theo hướng dẫn của người khác chưa qua kiểm duyệt phải rà soát thật kỹ càng; kiểm tra "sâu bọ"... Hãy thử nghiệm trước trên localhost; Thường xuyên ghé thăm topic mà bạn đã download files hay xem hướng dẫn. Khi thấy thực sự ổn định, lúc đó mới mạnh dạn đưa lên site.
Thông tin chi tiết về lỗi này có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=58&t=3319
Hướng dẫn vá lỗi có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=47&t=3320
Nguồn tin: nukeviet.vn
Ý kiến bạn đọc
Ủng hộ, hỗ trợ và tham gia phát triển NukeViet
1. Ủng hộ bằng tiền mặt vào Quỹ tài trợ NukeViet Qua tài khoản Paypal: Chuyển khoản ngân hàng trực tiếp: Người đứng tên tài khoản: NGUYEN THE HUNG Số tài khoản: 0031000792053 Loại tài khoản: VND (Việt Nam Đồng) Ngân hàng Vietcombank chi nhánh Hải...
Thăm dò ý kiến
Tin xem nhiều
-
Đưa trang Web của bạn vào Google cách nhanh nhất!
-
Hướng dẫn sử dụng Twitter toàn tập từ cơ bản đến nâng cao (phần 1).
-
Các loại sóng phát thanh đang dùng của VOV & tần số radio
-
Cài GPRS miễn phí cho điện thoại di động của bạn
-
Những Tên miền miễn phí hay cho Website & blog của bạn
- Tra cứu Mã vùng điện thoại, các số điện thoại khẩn cấp và mã điện thoại quốc tế
-
Thủ thuật để truy cập vào những trang web bị chặn.
-
Dùng Internet Download Manager miễn phí vĩnh viễn
-
Phục hồi file word bị hỏng
-
Đăng ký và sử dụng miễn phí tên miền .TK
Thống kê truy cập
- Đang truy cập146
- Máy chủ tìm kiếm4
- Khách viếng thăm142
- Hôm nay53,137
- Tháng hiện tại988,743
- Tổng lượt truy cập40,262,402
-
Gói thầu số 14: Cung cấp, lắp đặt hệ thống điều hoà, thông gió
Thứ hai - 21/01/2019 12:01
Số TBMT: 20190140278-00
Bên mời thầu: TRƯỜNG SĨ QUAN THÔNG TIN
Thời điểm đóng thầu: 07:30 28/02/19 -
Gói thầu số 12: Cung cấp, lắp đặt hệ thống PCCC
Thứ hai - 21/01/2019 12:01
Số TBMT: 20190140275-00
Bên mời thầu: TRƯỜNG SĨ QUAN THÔNG TIN
Thời điểm đóng thầu: 07:30 28/02/19 -
Thi công xây dựng
Thứ hai - 21/01/2019 10:01
Số TBMT: 20190140199-00
Bên mời thầu: Ủy ban nhân dân phường Hạ Đình
Thời điểm đóng thầu: 16:00 01/02/19 -
Gói thầu số 03: Thi công xây dựng công trình (bao gồm chi phí hạng mục chung)
Thứ hai - 21/01/2019 09:01
Số TBMT: 20190140189-00
Bên mời thầu: Ban Quản lý dự án đầu tư xây dựng huyện Thiệu Hóa
Thời điểm đóng thầu: 10:00 01/02/19 -
Gói thầu số 01: Thi công xây lắp và hạng mục chung
Thứ hai - 21/01/2019 09:01
Số TBMT: 20190111760-01
Bên mời thầu: UBND phường Tây Mỗ
Thời điểm đóng thầu: 09:30 25/01/19 -
Cải tạo, chống thấm dột nhà học 4 tầng 30 lớp Trường THCS Phùng Chí Kiên, thành phố Nam Định
Thứ hai - 21/01/2019 09:01
Số TBMT: 20190140117-00
Bên mời thầu: Phòng Giáo dục và Đào tạo thành phố Nam Định
Thời điểm đóng thầu: 08:00 01/02/19 -
Thi công xây dựng công trình và hạng mục chung
Thứ hai - 21/01/2019 09:01
Số TBMT: 20190137041-00
Bên mời thầu: Ban quản lý dự án các công trình xây dựng Ninh Hòa
Thời điểm đóng thầu: 08:00 01/02/19 -
Gói thầu số 04: Toàn bộ phần xây lắp và chi phí hạng mục chung
Thứ hai - 21/01/2019 09:01
Số TBMT: 20190140196-00
Bên mời thầu: Ủy Ban Nhân Dân Phường Minh Khai, Quận Bắc Từ Liêm, TP Hà Nội
Thời điểm đóng thầu: 09:30 01/02/19 -
Gói thầu xây lắp: Xây dựng công trình và lán trại
Thứ hai - 21/01/2019 08:01
Số TBMT: 20190140203-00
Bên mời thầu: Công ty TNHH Tư vấn đầu tư xây dựng Tiến Hoàng
Thời điểm đóng thầu: 21:00 28/01/19 -
Gói thầu số 05: Cung cấp thiết bị, vật tư và thi công lắp đặt, xây dựng các hạng mục đường dọc kênh Yên Lập, đường nội bộ, hồ nước thô, cống lấy nước, trạm bơm 1 và tuyến ống nước thô.
Thứ hai - 21/01/2019 06:01
Số TBMT: 20190140141-00
Bên mời thầu: Công ty cổ phần nước sạch Quảng Ninh
Thời điểm đóng thầu: 09:00 15/02/19
-
Microsoft Edge chính thức chuyển sang nền tảng Chromium, sẽ ra mắt trong năm 2019
Không còn là tin đồn nữa, Microsoft vừa qua đã chính thức xác nhận sẽ chuyển trình duyệt Edge sang nền tảng Chromiumtương tự như Chrome của Google. Sự chuyển đổi này sẽ được hoàn tất vào năm 2019 và hứa hẹn sẽ đem lại trải nghiệm tốt hơn cho người dùng. -
FireFox ra mắt phiên bản 63 với tính năng Content blocking giúp chặn theo dõi toàn diện
Trình duyệt Mozilla Firefox 63 được tung ra kèm với tính năng Enhanced Tracking Protection để chặn cookie của bên thứ 3. Đáng chú ý là tính năng này được kích hoạt mặc định và ngay lập tức tất cả các nút mạng xã hội tích hợp lên website, các mã quảng cáo, mã thống kê truy cập... đều bị chặn. -
Hướng dẫn kích hoạt reCaptcha trên NukeViet
reCAPTCHA là công cụ hữu ích phòng chống SPAM được cung cấp bởi google. Ngày nay, đã và rất nhiều website sử dụng reCAPTCHA, không nằm ngoài nhóm đối tượng đó, các nhà phát triển đã tích hợp reCAPTCHA kể tư phiên bản NukeViet 4.1.01 -
Thông báo phát hành NukeViet 4.3.04
NukeViet 4.3.04 tiếp tục là bản tiếp theo của thế hệ NukeViet 4.3. Ngoài các cải tiến về hệ thống, phiên bản này còn là bản cập nhật quan trọng để sửa lỗi bảo mật của thế hệ NukeViet 4.x -
Hướng dẫn Fix lỗi bảo mật của NukeViet 4.x
Ban quản trị NukeViet thông báo: các phiên bản NukeViet 4 (< 4.3.04) hiện tại đang chứa lỗi bảo mật. Đề nghị các bạn thực hiện tải bản vá cho website của mình. Lỗi này được Zepto Team phát hiện, và bạn hungnguyenmz thông báo cho ban quản trị ngày 14/11/2018. Đội code NukeViet đã hoàn thành vá lỗi, bản vá được phát hành vào ngày 15/11/2018 cho tất cả các phiên bản chính thức của NukeViet 4.x -
Hướng dẫn cài đặt NukeViet lên Hostinger
NukeViet là một CMS mã nguồn mở được viết bằng PHP và sử dụng MySQL làm hệ quản trị cơ sở dữ liệu. Nukeviet được phát hành từ năm 2004 và vẫn giữ vững là một trong các CMS tốt nhất cho người Việt. NukeViet phù hợp cho việc tạo blog cá nhân, site tin tức, báo mạng, website giới thiệu doanh nghiệp. -
NukeViet đồng hành cùng Hacktoberfest Hanoi
NukeViet sẽ đồng bảo trợ cho sự kiện Hacktoberfest Hà Nội. Tuy nhiên tất cả các thành viên trong cộng đồng NukeViet ở khắp nơi trên thế giới đều có thể tham gia
-
Gói thầu số 14: Cung cấp, lắp đặt hệ thống điều hoà, thông gió
Thứ hai - 21/01/2019 18:01
Số KHLCNT: 20190140276 - 00
Chủ đầu tư: TRƯỜNG SĨ QUAN THÔNG TIN
Thời gian đăng tải: 00:24 22/01/19 -
Kế hoạch lựa chọn nhà thầu giai đoạn đầu tư
Thứ hai - 21/01/2019 17:01
Số KHLCNT: 20190140271 - 00
Chủ đầu tư: Công ty CP Đầu tư và Tư vấn Xây dựng C.I.C.8
Thời gian đăng tải: 23:49 21/01/19 -
Xây dựng vườn hoa khu tái định cư Trung Hưng
Thứ hai - 21/01/2019 17:01
Số KHLCNT: 20190140264 - 00
Chủ đầu tư: Phòng quản lý đô thị Sơn Tây
Thời gian đăng tải: 23:42 21/01/19 -
Thiết kế, trang bị và lắp đặt thiết bị hệ thông điều không thông gió.
Thứ hai - 21/01/2019 16:01
Số KHLCNT: 20190140258 - 00
Chủ đầu tư: CÔNG TY CỔ PHẦN DỆT ĐÔNG NAM
Thời gian đăng tải: 22:25 21/01/19 -
Trụ sở làm việc Phòng Giáo dục và Đào tạo huyện Buôn Đôn
Thứ hai - 21/01/2019 16:01
Số KHLCNT: 20190140250 - 00
Chủ đầu tư: Ban quản lý dự án đầu tư xây dựng huyện Buôn Đôn
Thời gian đăng tải: 22:06 21/01/19