Một số site sử dụng NukeViet bị dính lỗi bảo mật do sửa module News tùy tiện.

Thứ hai - 02/06/2008 08:56

Do "bắt chước" tính năng Thảo luận (comment) bài viết trong Module News của bản NukeVN, nhiều người đã làm theo hướng dẫn chỉnh sửa code vô tội vạ mà không kiểm tra xem việc sửa chữa đó có an toàn hay không. Nếu bạn đã từng thêm tính năng Gửi thảo luận ở Module News vào site của bạn thì bạn nên xem lại.

Số là nhiều người sử dụng đã "chia sẻ" cho nhau một đoạn code nhằm thêm tính năng hiển thị thảo luận ở cuối bài viết của Module News của NukeViet. Không may là đoạn cdoe này vướng phải lỗi bảo mật do bỏ qua hoàn toàn các chế độ kiểm duyệt của hệ thống NukeViet.

Thông thường, trước khi nhập liệu vào CSDL, hệ thống phải kiểm soát tính hợp lệ của dữ liệu được nhận từ các form. Với phần thảo luận của News, cần phải kiểm duyệt: Hệ thống có cho phép thành viên gửi bài viết hay không, Module News có cho phép thảo luận hay không, Bài viết cụ thể XYZ có cho phép thảo luận hay không, Ai được phép thảo luận: tất cả hay chỉ có thành viên; dữ liệu nhập vào có hợp lệ hay không... Thế mà, đoạn mã trên đã bỏ qua tất cả các "cửa ải" cần thiết trước khi cho phép "đăng đàn". - Anhtu nói.

Ngày 31 Tháng 5 2008, anhtu - Admin diễn đàn NukeViet.VN - đã phát hiện ra lỗi này khi trợ giúp một thành viên sử dụng NukeViet. Khi đó, đã có khá nhiều site sử dụng đoạn code này, đa phần là các site sử dụng bản NukeVN.

Anhtu khuyến cáo:
- Các bạn viết hướng dẫn hay đưa các blocks, modules lên diễn đàn phải cân nhắc thật cẩn thận, chú ý cao độ đến tính bảo mật chứ đừng nhìn thấy "có kết quả" là vội mừng, bỏ qua các đòi hỏi khác.
- Các bạn download các blocks, modules do thành viên đưa lên diễn đàn hay thực hiện theo hướng dẫn của người khác chưa qua kiểm duyệt phải rà soát thật kỹ càng; kiểm tra "sâu bọ"... Hãy thử nghiệm trước trên localhost; Thường xuyên ghé thăm topic mà bạn đã download files hay xem hướng dẫn. Khi thấy thực sự ổn định, lúc đó mới mạnh dạn đưa lên site.

Thông tin chi tiết về lỗi này có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=58&t=3319
Hướng dẫn vá lỗi có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=47&t=3320

Nguồn tin: nukeviet.vn

Theo dòng sự kiện

Xem tiếp...

Những tin mới hơn

Những tin cũ hơn

Ủng hộ, hỗ trợ và tham gia phát triển NukeViet

1. Ủng hộ bằng tiền mặt vào Quỹ tài trợ NukeViet Qua tài khoản Paypal: Chuyển khoản ngân hàng trực tiếp: Người đứng tên tài khoản: NGUYEN THE HUNG Số tài khoản: 0031000792053 Loại tài khoản: VND (Việt Nam Đồng) Ngân hàng Vietcombank chi nhánh Hải...

Thăm dò ý kiến

Thống kê truy cập

Đang truy cập51
Máy chủ tìm kiếm15
Khách viếng thăm36
Hôm nay19,017
Tháng hiện tại306,808
Tổng lượt truy cập105,460,510

Thông tin mời thầu

Gói thầu số 06: Thi công xây dựng + thiết bị

Thứ tư - 13/08/2025 09:32
Số TBMT: IB2500345708-00. Bên mời thầu: Ủy ban nhân dân phường Chiềng Cơi. Đóng thầu: 08:00 22/08/25
Gói thầu: Thi công sửa chữa Tuyến băng tải từ xưởng sàng 56 đến cảng Bến Cân (BTO)

Thứ tư - 13/08/2025 09:23
Số TBMT: IB2500341128-00. Bên mời thầu: CHI NHÁNH TẬP ĐOÀN CÔNG NGHIỆP THAN - KHOÁNG SẢN VIỆT NAM - CÔNG TY KHO VẬN ĐÁ BẠC - VINACOMIN. Đóng thầu: 08:30 01/09/25
03/TVGS- Tư vấn giám sát thi công xây lắp và lắp đặt thiết bị

Thứ tư - 13/08/2025 09:22
Số TBMT: IB2500340216-00. Bên mời thầu: CÔNG TY ĐIỆN LỰC TUYÊN QUANG - CHI NHÁNH TỔNG CÔNG TY ĐIỆN LỰC MIỀN BẮC. Đóng thầu: 08:00 01/09/25
NPCBA1.NCSSD.110kV.G03: Cung cấp VTTB và các dịch vụ xây dựng phục vụ lắp đặt vận hành

Thứ tư - 13/08/2025 08:49
Số TBMT: IB2500345032-00. Bên mời thầu: Ban Quản lý dự án Lưới điện - Tổng công ty Điện lực miền Bắc. Đóng thầu: 15:00 22/08/25
NM2-05.B: Cung cấp và lắp đặt máy phát điện dự phòng, trạm biến áp

Thứ tư - 13/08/2025 08:33
Số TBMT: IB2500344346-00. Bên mời thầu: CÔNG TY CỔ PHẦN CÔNG NGHỆ CÔNG NGHIỆP BƯU CHÍNH VIỄN THÔNG. Đóng thầu: 09:00 25/08/25
Gói thầu số 01: Thi công xây lắp và PCCC công trình Nhà học bộ môn 12 phòng Trường THPT Nguyễn Du

Thứ tư - 13/08/2025 08:27
Số TBMT: IB2500346889-00. Bên mời thầu: Ban Quản lý dự án đầu tư xây dựng số 2. Đóng thầu: 15:30 22/08/25
Gói thầu số 02: Vật tư, linh kiện điện tử

Thứ tư - 13/08/2025 08:04
Số TBMT: IB2500340617-00. Bên mời thầu: Trung tâm 80/Cục tác chiến điện tử/Bộ Tổng tham mưu. Đóng thầu: 09:00 22/08/25
Gói thầu số 01 “Cung cấp thiết bị phòng thí nghiệm”

Thứ tư - 13/08/2025 08:01
Số TBMT: IB2500336248-01. Bên mời thầu: Viện Khoa học Công nghệ Mỏ - Vinacomin. Đóng thầu: 09:00 19/08/25
Thi công xây dựng và cung cấp, lắp đặt vật tư thiết bị

Thứ tư - 13/08/2025 07:58
Số TBMT: IB2500338119-00. Bên mời thầu: CÔNG TY ĐIỆN LỰC QUẢNG NINH - CHI NHÁNH TỔNG CÔNG TY ĐIỆN LỰC MIỀN BẮC. Đóng thầu: 09:00 22/08/25
Cung cấp, lắp đặt vật tư thiết bị

Thứ tư - 13/08/2025 07:47
Số TBMT: IB2500339329-00. Bên mời thầu: CÔNG TY ĐIỆN LỰC QUẢNG NINH - CHI NHÁNH TỔNG CÔNG TY ĐIỆN LỰC MIỀN BẮC. Đóng thầu: 09:00 22/08/25

Tin từ NukeViet.vn

[Mời thầu] Gói thầu số 08: Mua sắm trang thiết bị, phần mềm đào tạo, thiết bị phục vụ học tập
Ban Quản lý dự án đầu tư xây dựng các công trình dân dụng và công nghiệp tỉnh Quảng Ngãi đang thực hiện mời thầu cho gói thầu “Gói thầu số 08: Mua sắm trang thiết bị, phần mềm đào tạo, thiết bị phục vụ học tập”. Thời hạn đóng thầu 08:00 08/08/2025.
[Mời thầu] Thuê phần mềm quản lý bệnh viện (HIS), quản lý xét nghiệm (LIS) tại Bệnh viện Ung bướu...
Bệnh viện Ung bướu tỉnh Khánh Hòa đang thực hiện mời thầu cho gói thầu “Thuê phần mềm quản lý bệnh viện (HIS), quản lý xét nghiệm (LIS), phần mềm quản lý chẩn đoán hình ảnh (RIS-PACS), phần mềm bệnh án điện tử (EMR) tại Bệnh viện Ung bướu Khánh Hòa”. Thời hạn đóng thầu 10:00 05/08/2025.
[Mời thầu] Xây dựng phần mềm thu thập dữ liệu an toàn thông tin cho mạng máy tính
Trung tâm 586/Bộ Tư lệnh 86 đang thực hiện mời thầu cho gói thầu “Xây dựng phần mềm thu thập dữ liệu an toàn thông tin cho mạng máy tính”. Thời hạn đóng thầu 10:00 28/07/2025.
[Mời thầu] Thuê phần mềm quản lý thông tin bệnh viện tại Trung tâm Y tế huyện Vân Đồn
Trung tâm Y tế huyện Vân Đồn đang thực hiện mời thầu cho gói thầu “Thuê phần mềm quản lý thông tin bệnh viện tại Trung tâm Y tế huyện Vân Đồn”. Thời hạn đóng thầu 10:00 14/07/2025.
[Mời thầu] Mua phần mềm quản lý chẩn đoán hình ảnh (PACS) và hệ thống quản lý thông tin xét nghiệm...
Trung Tâm Y Tế Các Khu Công Nghiệp Tỉnh Bắc Giang đang thực hiện mời thầu cho gói thầu “Mua phần mềm quản lý chẩn đoán hình ảnh (PACS) và hệ thống quản lý thông tin xét nghiệm (LIS) của Trung Tâm Y tế các khu công nghiệp tỉnh Bắc Giang”. Thời hạn đóng thầu 08:00 30/06/2025.
Xây dựng phần mềm Quản trị kinh doanh
Công Ty TNHH Một Thành Viên Tổng Công Ty Tân Cảng Sài Gòn đang thực hiện mời thầu cho gói thầu “Xây dựng phần mềm Quản trị kinh doanh”. Thời hạn đóng thầu 09:00 08/07/2025.
NukeViet.vn tham gia chương trình Bug Bounty trên WhiteHub
Từ năm 2019, NukeViet.vn đã tham gia chương trình Bug Bounty trên nền tảng WhiteHub - nền tảng Bug Bounty đầu tiên tại Việt Nam. Đây là bước đi thể hiện cam kết mạnh mẽ của đội ngũ phát triển NukeViet trong việc xây dựng một hệ thống an toàn, minh bạch và có chất lượng bảo mật cao, phục vụ cộng đồng người dùng và lập trình viên tại Việt Nam.

Kế hoạch lựa chọn nhà thầu

Cải tạo, sửa chữa Hàng rào, sân đường, kiosk ATM, phòng trực bảo vệ tại Trụ sở Chi nhánh Trà Vinh

Thứ tư - 13/08/2025 09:26
Số KHLCNT: PL2500188596-00. Chủ đầu tư: NGÂN HÀNG THƯƠNG MẠI CỔ PHẦN ĐẦU TƯ VÀ PHÁT TRIỂN VIỆT NAM - CHI NHÁNH TRÀ VINH. Ngày đăng tải: 20:26 13/08/25
MUA SẮM CẶP DA ĐỰNG TÀI LIỆU VÀ HUY HIỆU CHO ĐẠI BIỂU DỰ "ĐẠI HỘI ĐẠI BIỂU ĐẢNG BỘ XÃ PHƯỚC AN NHIỆM KỲ 2025-2023"

Thứ tư - 13/08/2025 09:22
Số KHLCNT: PL2500188541-01. Chủ đầu tư: VĂN PHÒNG ĐẢNG ỦY XÃ PHƯỚC AN. Ngày đăng tải: 20:22 13/08/25
Mua sắm xe ô tô phục vụ công tác chung cho Văn phòng Đảng uỷ phường Nghĩa Đô

Thứ tư - 13/08/2025 09:19
Số KHLCNT: PL2500188594-00. Chủ đầu tư: Văn phòng Đảng ủy phường Nghĩa Đô. Ngày đăng tải: 20:19 13/08/25
Cải tạo, sửa chữa trụ sở Phòng giao dịch Thanh Hà tại địa điểm mới

Thứ tư - 13/08/2025 09:17
Số KHLCNT: PL2500188595-00. Chủ đầu tư: NGÂN HÀNG THƯƠNG MẠI CỔ PHẦN NGOẠI THƯƠNG VIỆT NAM - CHI NHÁNH HẢI DƯƠNG. Ngày đăng tải: 20:17 13/08/25
Kế hoạch lựa chọn nhà thầu tư vấn lập nhiệm vụ quy hoạch đồ án Quy hoạch chung phường Hoài Nhơn, tỉnh Gia Lai

Thứ tư - 13/08/2025 09:15
Số KHLCNT: PL2500188593-00. Chủ đầu tư: Ủy ban nhân dân phường Hoài Nhơn. Ngày đăng tải: 20:15 13/08/25

Một số site sử dụng NukeViet bị dính lỗi bảo mật do sửa module News tùy tiện.

Ủng hộ, hỗ trợ và tham gia phát triển NukeViet

Lợi ích của phần mềm nguồn mở là gì?

Gói thầu số 06: Thi công xây dựng + thiết bị

Gói thầu: Thi công sửa chữa Tuyến băng tải từ xưởng sàng 56 đến cảng Bến Cân (BTO)

03/TVGS- Tư vấn giám sát thi công xây lắp và lắp đặt thiết bị

NPCBA1.NCSSD.110kV.G03: Cung cấp VTTB và các dịch vụ xây dựng phục vụ lắp đặt vận hành

NM2-05.B: Cung cấp và lắp đặt máy phát điện dự phòng, trạm biến áp

Gói thầu số 01: Thi công xây lắp và PCCC công trình Nhà học bộ môn 12 phòng Trường THPT Nguyễn Du

Gói thầu số 02: Vật tư, linh kiện điện tử

Gói thầu số 01 “Cung cấp thiết bị phòng thí nghiệm”

Thi công xây dựng và cung cấp, lắp đặt vật tư thiết bị

Cung cấp, lắp đặt vật tư thiết bị

[Mời thầu] Gói thầu số 08: Mua sắm trang thiết bị, phần mềm đào tạo, thiết bị phục vụ học tập

[Mời thầu] Thuê phần mềm quản lý bệnh viện (HIS), quản lý xét nghiệm (LIS) tại Bệnh viện Ung bướu...

[Mời thầu] Xây dựng phần mềm thu thập dữ liệu an toàn thông tin cho mạng máy tính

[Mời thầu] Thuê phần mềm quản lý thông tin bệnh viện tại Trung tâm Y tế huyện Vân Đồn

[Mời thầu] Mua phần mềm quản lý chẩn đoán hình ảnh (PACS) và hệ thống quản lý thông tin xét nghiệm...

Xây dựng phần mềm Quản trị kinh doanh

NukeViet.vn tham gia chương trình Bug Bounty trên WhiteHub

Cải tạo, sửa chữa Hàng rào, sân đường, kiosk ATM, phòng trực bảo vệ tại Trụ sở Chi nhánh Trà Vinh

MUA SẮM CẶP DA ĐỰNG TÀI LIỆU VÀ HUY HIỆU CHO ĐẠI BIỂU DỰ "ĐẠI HỘI ĐẠI BIỂU ĐẢNG BỘ XÃ PHƯỚC AN NHIỆM KỲ 2025-2023"

Mua sắm xe ô tô phục vụ công tác chung cho Văn phòng Đảng uỷ phường Nghĩa Đô

Cải tạo, sửa chữa trụ sở Phòng giao dịch Thanh Hà tại địa điểm mới

Kế hoạch lựa chọn nhà thầu tư vấn lập nhiệm vụ quy hoạch đồ án Quy hoạch chung phường Hoài Nhơn, tỉnh Gia Lai

Cổng thông tin doanh nghiệp

Giải pháp bán hàng trực tuyến