MangVN
Chia sẻ thành công, kết nối đam mê
Một số site sử dụng NukeViet bị dính lỗi bảo mật do sửa module News tùy tiện.
Do "bắt chước" tính năng Thảo luận (comment) bài viết trong Module News của bản NukeVN, nhiều người đã làm theo hướng dẫn chỉnh sửa code vô tội vạ mà không kiểm tra xem việc sửa chữa đó có an toàn hay không. Nếu bạn đã từng thêm tính năng Gửi thảo luận ở Module News vào site của bạn thì bạn nên xem lại.
Số là nhiều người sử dụng đã "chia sẻ" cho nhau một đoạn code nhằm thêm tính năng hiển thị thảo luận ở cuối bài viết của Module News của NukeViet. Không may là đoạn cdoe này vướng phải lỗi bảo mật do bỏ qua hoàn toàn các chế độ kiểm duyệt của hệ thống NukeViet.
Thông thường, trước khi nhập liệu vào CSDL, hệ thống phải kiểm soát tính hợp lệ của dữ liệu được nhận từ các form. Với phần thảo luận của News, cần phải kiểm duyệt: Hệ thống có cho phép thành viên gửi bài viết hay không, Module News có cho phép thảo luận hay không, Bài viết cụ thể XYZ có cho phép thảo luận hay không, Ai được phép thảo luận: tất cả hay chỉ có thành viên; dữ liệu nhập vào có hợp lệ hay không... Thế mà, đoạn mã trên đã bỏ qua tất cả các "cửa ải" cần thiết trước khi cho phép "đăng đàn". - Anhtu nói.
Ngày 31 Tháng 5 2008, anhtu - Admin diễn đàn NukeViet.VN - đã phát hiện ra lỗi này khi trợ giúp một thành viên sử dụng NukeViet. Khi đó, đã có khá nhiều site sử dụng đoạn code này, đa phần là các site sử dụng bản NukeVN.
Anhtu khuyến cáo:
- Các bạn viết hướng dẫn hay đưa các blocks, modules lên diễn đàn phải cân nhắc thật cẩn thận, chú ý cao độ đến tính bảo mật chứ đừng nhìn thấy "có kết quả" là vội mừng, bỏ qua các đòi hỏi khác.
- Các bạn download các blocks, modules do thành viên đưa lên diễn đàn hay thực hiện theo hướng dẫn của người khác chưa qua kiểm duyệt phải rà soát thật kỹ càng; kiểm tra "sâu bọ"... Hãy thử nghiệm trước trên localhost; Thường xuyên ghé thăm topic mà bạn đã download files hay xem hướng dẫn. Khi thấy thực sự ổn định, lúc đó mới mạnh dạn đưa lên site.
Thông tin chi tiết về lỗi này có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=58&t=3319
Hướng dẫn vá lỗi có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=47&t=3320
Thông thường, trước khi nhập liệu vào CSDL, hệ thống phải kiểm soát tính hợp lệ của dữ liệu được nhận từ các form. Với phần thảo luận của News, cần phải kiểm duyệt: Hệ thống có cho phép thành viên gửi bài viết hay không, Module News có cho phép thảo luận hay không, Bài viết cụ thể XYZ có cho phép thảo luận hay không, Ai được phép thảo luận: tất cả hay chỉ có thành viên; dữ liệu nhập vào có hợp lệ hay không... Thế mà, đoạn mã trên đã bỏ qua tất cả các "cửa ải" cần thiết trước khi cho phép "đăng đàn". - Anhtu nói.
Ngày 31 Tháng 5 2008, anhtu - Admin diễn đàn NukeViet.VN - đã phát hiện ra lỗi này khi trợ giúp một thành viên sử dụng NukeViet. Khi đó, đã có khá nhiều site sử dụng đoạn code này, đa phần là các site sử dụng bản NukeVN.
Anhtu khuyến cáo:
- Các bạn viết hướng dẫn hay đưa các blocks, modules lên diễn đàn phải cân nhắc thật cẩn thận, chú ý cao độ đến tính bảo mật chứ đừng nhìn thấy "có kết quả" là vội mừng, bỏ qua các đòi hỏi khác.
- Các bạn download các blocks, modules do thành viên đưa lên diễn đàn hay thực hiện theo hướng dẫn của người khác chưa qua kiểm duyệt phải rà soát thật kỹ càng; kiểm tra "sâu bọ"... Hãy thử nghiệm trước trên localhost; Thường xuyên ghé thăm topic mà bạn đã download files hay xem hướng dẫn. Khi thấy thực sự ổn định, lúc đó mới mạnh dạn đưa lên site.
Thông tin chi tiết về lỗi này có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=58&t=3319
Hướng dẫn vá lỗi có tại đây: http://nukeviet.vn/phpbb/viewtopic.php?f=47&t=3320
Nguồn tin: nukeviet.vn
Ý kiến bạn đọc
Giới thiệu về Công ty cổ phần phát triển nguồn mở Việt Nam
Công ty cổ phần phát triển nguồn mở Việt Nam (VINADES.,JSC) là công ty mã nguồn mở đầu tiên của Việt Nam sở hữu riêng một mã nguồn mở nổi tiếng và đang được sử dụng ở hàng ngàn website lớn nhỏ trong mọi lĩnh vực. Wbsite đang hoạt động chính thức: http://vinades.vn/ Ra đời từ hoạt động của tổ chức...
Thăm dò ý kiến
Tin xem nhiều
-
Đưa trang Web của bạn vào Google cách nhanh nhất!
-
Hướng dẫn sử dụng Twitter toàn tập từ cơ bản đến nâng cao (phần 1).
-
Cài GPRS miễn phí cho điện thoại di động của bạn
-
Các loại sóng phát thanh đang dùng của VOV & tần số radio
- Thủ thuật gõ 10 ngón trên máy vi tính bàn phím chuẩn (Qwerty)
-
Những Tên miền miễn phí hay cho Website & blog của bạn
-
Thủ thuật để truy cập vào những trang web bị chặn.
- Tra cứu Mã vùng điện thoại, các số điện thoại khẩn cấp và mã điện thoại quốc tế
-
Dùng Internet Download Manager miễn phí vĩnh viễn
-
Phục hồi file word bị hỏng
Thống kê truy cập
- Đang truy cập71
- Máy chủ tìm kiếm2
- Khách viếng thăm69
- Hôm nay9,760
- Tháng hiện tại265,885
- Tổng lượt truy cập33,790,563
-
Thay đổi hình thức thanh toán các ứng dụng có phí trên NukeViet Store
Để đơn giản hóa việc thanh toán các ứng dụng có phí, NukeViet Store đã phát triển và tích hợp giải pháp thanh toán qua module wallet. -
Công ty AZVIET trở thành thành viên tập thể của cộng đồng NukeViet
Công ty cổ phần xây dựng và thương mại AZVIET đã hoàn tất thủ tục đăng ký thành viên doanh nghiệp và chính thức trở thành thành viên tập thể của cộng đồng NukeViet kể từ ngày 28/03/2018 -
Bổ sung điều kiện quản lý nội dung thông tin mạng xã hội
Chính phủ vừa ban hành Nghị định số 27/2018/NĐ-CP sửa đổi, bổ sung một số điều của Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng, trong đó, bổ sung điều kiện về quản lý nội dung thông tin đối với trang thông tin điện tử tổng hợp, mạng xã hội. -
Sau GitHub, thêm một vụ DDoS với lưu lượng 1,7Tbps
Chưa đầy một tuần, Github đã nhận đợt tấn công DDoS với lưu lượng kỷ lục 1,35Tbps. Nhưng một ghi nhận mới đây cho thấy đã có một cuộc tấn công lên tới 1,7Tbps. -
Hơn 115.000 IP tại Việt Nam nằm trong các mạng máy tính ma mùa Tết 2018
Trong mùa Tết 2018, đã có tổng số 115.134 địa chỉ IP của Việt Nam nằm trong các mạng máy tính ma. -
Việt Nam xếp thứ 5/10 nước bị tấn công DDoS nhiều nhất
Thống kê của Kaspersky Lab cho thấy lượng quốc gia bị tấn công DDoS trong quý 4/2017 đã có chiều hướng giảm. Dẫu vậy, top 10 quốc gia bị tấn công DDoS nhiều nhất gần như vẫn giữ nguyên vị trí của mình. -
Máy chủ mạng Thế vận hội mùa đông bị hack
Thế vận hội mùa Đông (Olympic Pyeongchang) 2018 đang diễn ra tại Hàn Quốc và ngay trong Lễ khai mạc, tin tặc đã tấn công máy chủ của mạng máy tính này.