MangVN
Chia sẻ thành công, kết nối đam mê
MangVN
Chia sẻ thành công, kết nối đam mê
(Bài viết trên Vietnamnet)
Qua sự cố lỗi bảo mật trong phần mềm Joomla vừa qua, có thể thấy rõ vấn đề đảm bảo an toàn cho website trước tiên phụ thuộc vào ý thức của người quản trị, chứ không phải chuyện phần mềm miễn phí hay thương mại, nguồn mở hay nguồn đóng.
Theo website của các nhà phát triển Joomla, đây là một lỗi bảo mật nằm trong cơ chế xác thực token để tái lập mật khẩu quản trị của phần mềm Joomla của file /components/com_user/models/reset.php.
Thay vì phải nhập một thẻ token được hệ thống gửi tới email của người quản trị, một người dùng bình thường có thể nhập mã thẻ token là một dấu phẩy trên (’) và được chuyển ngay tới phần đặt lại mật khẩu mới cho tài khoản người dùng có mã số ID nhỏ nhất. Thông thường, đây là tài khoản mang tên admin, có quyền quản trị cấp cao nhất (administrator). Do đây là thành phần mặc định của Joomla nên khả năng reset password thành công là 100%.
Hiện tổ chức các nhà phát triển Joomla đã cảnh bảo các website sử dụng những phiên bản Joomla từ 1.5.5 trở về trước nên cập nhật ngay lên phiên bản 1..5.6 hoặc khắc phục lỗi trong file reset.php.
Đến trẻ con cũng có thể... hack
 |
| Website dùng phần mềm Joomla bị mắc lỗi bảo mật. Ảnh chụp màn hình ngày 18/8/2008. |
Vào thời điểm các website chưa kịp nâng cấp, không mấy khó khăn để có thể tìm kiếm một website sử dụng phần mềm Joomla qua Google, kể cả với website dùng tiếng Việt, vì thông thường các website đều có ghi danh phần mềm Joomla được sử dụng theo quy định bản quyền của phần mềm nguồn mở này.
Bước tiếp theo, kẻ tấn công chỉ việc gõ (hoặc paste) thêm một đoạn đường link (?option=com_user&view=reset&layout=confirm) vào sau địa chỉ trang chủ của website và bấm enter, một bảng thông báo sẽ hiện ra cho biết hệ thống đã gửi email chứa thẻ xác thực (token) tới địa chỉ mail của người quản trị và yêu cầu nhập token đó vào để có thể đổi mật khẩu cho tài khoản.
Tuy nhiên, kẻ tấn công có thể đi qua bước xác thực này một cách đơn giản bằng cách nhập ký tự dấu phảy trên (’), và lập tức được chuyển tới mục nhập mật khẩu mới 2 lần để thay đổi mật khẩu quản trị. Sau khi đổi được mật khẩu, kẻ tấn công có thể đàng hoàng đăng nhập vào hệ thống quản trị của Joomla bằng cách gõ thêm cụm /administrator/ vào sau tên miền của website theo tên đăng nhập là admin, với mật khẩu vừa thay đổi.
Lúc này, toàn bộ hệ thống quản trị nội dung web của phần mềm Joomla đã nằm trong quyền kiểm soát của kẻ tấn công.
Các "nạn nhân" không có quy mô lớn
 |
| Website dùng phần mềm Joomla bị mắc lỗi bảo mật. Ảnh chụp màn hình ngày 18/8/2008. |
Tuy nhiên, vì Joomla là phần mềm nguồn mở miễn phí với đặc thù đơn giản, dễ triển khai, tùy biến, phù hợp với các hệ thống website nhỏ và trung bình, nên phần lớn các tên miền .vn sử dụng Joomla cũng là các website cá nhân, nhóm diễn đàn hoặc cộng đồng mạng ít phổ biến, hoặc các doanh nghiệp, tổ chức có quy mô không lớn, không có nhiều thông tin trọng yếu.
Do đó, trung tâm VNCERT cũng chỉ thực hiện cảnh báo trực tiếp qua điện thoại, e-mail tới các doanh nghiệp, tổ chức sở hữu các website như luatgiapham.com, daoduytu.edu.vn, giaoduc.edu.vn, www.vctv.vkn, sport.com.vn... Sau khi nhận được thông báo, các website này đều đã tiến hành vá lỗi bảo mật bằng cách nâng cấp lên phiên bản Joomla 1.5.6.
Cập nhật nhanh - cách phòng vệ tốt nhất!
 |
| Website dùng phần mềm Joomla bị mắc lỗi bảo mật. Ảnh chụp màn hình ngày 18/8/2008. |
Cụ thể trong trường hợp của phần mềm Joomla, các thông báo về lỗi reset mật khẩu quản trị cũng đã có khá sớm trên diễn đàn các nhà phát triển Joomla (developer.joomla.org), đồng thời được hệ thống các cơ quan ứng cứu sự cố máy tính khẩn cấp trên khắp thế giới chuyển tiếp nhanh chóng, từ USCERT, JCERT.... cho tới VNCERT.
Một số cách khác để nhanh chóng tiếp cận các thông tin cảnh báo lỗi bảo mật là đăng ký dịch vụ newsletter của các tổ chức CERT hoặc doanh nghiệp, tổ chức cung cấp, phát triển các phần mềm cần theo dõi, hoặc cập nhật các kênh tin tức qua RSS để nắm thông tin. Đây là những biện pháp cập nhật thông tin cơ bản mà bất cứ webmaster nào cũng phải thực hiện để đảm bảo hệ thống website luôn được khắc phục các lỗi bảo mật nhanh nhất.
Nhưng có một thực tế đáng buồn là thói quen này chưa thực sự phổ biến đối với các webmaster tại Việt Nam. Một minh chứng đơn giản nhất: Ngày 18/8/2008, sau khi lỗi Joomla được phát hiện và công bố được 5 ngày, vẫn còn khá nhiều website .vn chưa khắc phục lỗi và dễ dàng trở thành nạn nhân của các newbie thích tò mò phá phách qua mạng.
 |
| Website dùng phần mềm Joomla bị mắc lỗi bảo mật. Ảnh chụp màn hình ngày 18/8/2008. |
Trên thực tế, các lỗi bảo mật tương tự như của Joomla không phải là hiếm, thậm chí có trong cả các sản phẩm phần mềm thương mại như của Microsoft, Cisco... Do đó, vấn đề đảm bảo an toàn cho website trước tiên phụ thuộc vào ý thức của người quản trị, chứ không phải chuyện phần mềm miễn phí hay thương mại, nguồn mở hay nguồn đóng.
• Bình Minh1. Môi trường máy chủ Yêu cầu bắt buộc Hệ điều hành: Unix (Linux, Ubuntu, Fedora …) hoặc Windows PHP: PHP 5.4 hoặc phiên bản mới nhất. MySQL: MySQL 5.5 hoặc phiên bản mới nhất Tùy chọn bổ sung Máy chủ Apache cần hỗ trợ mod mod_rewrite. Máy chủ Nginx cấu hình các thông...
Thứ năm - 21/11/2024 05:57
Số TBMT: IB2400512388-00. Bên mời thầu: Công ty TNHH Tư vấn Đấu thầu Cát An. Đóng thầu: 08:30 10/12/24Thứ năm - 21/11/2024 05:57
Số TBMT: IB2400512029-00. Bên mời thầu: Ban Quản lý dự án 2 tỉnh Sóc Trăng. Đóng thầu: 09:00 28/11/24Thứ năm - 21/11/2024 05:57
Số TBMT: IB2400509868-00. Bên mời thầu: CÔNG TY TNHH TƯ VẤN THIẾT KẾ XÂY DỰNG VÀ QUẢN LÝ DỰ ÁN MIỀN ĐÔNG. Đóng thầu: 09:00 02/12/24Thứ năm - 21/11/2024 05:56
Số TBMT: IB2400512720-00. Bên mời thầu: CÔNG TY TNHH MỘT THÀNH VIÊN TƯ VẤN CÔNG NGHỆ THÔNG TIN ĐẮC NGÂN. Đóng thầu: 09:00 30/11/24Thứ năm - 21/11/2024 05:54
Số TBMT: IB2400507498-00. Bên mời thầu: Ban Quản lý dự án đầu tư xây dựng thành phố Nam Định. Đóng thầu: 09:00 30/11/24Thứ năm - 21/11/2024 05:53
Số TBMT: IB2400479131-01. Bên mời thầu: CÔNG TY CỔ PHẦN TƯ VẤN XÂY DỰNG VÀ THƯƠNG MẠI QUẢNG HUẾ. Đóng thầu: 07:00 28/11/24Thứ năm - 21/11/2024 05:52
Số TBMT: IB2400512682-00. Bên mời thầu: CÔNG TY CỔ PHẦN ĐẦU TƯ XÂY DỰNG ĐÔ THỊ SÀI GÒN. Đóng thầu: 08:00 09/12/24Thứ năm - 21/11/2024 05:52
Số TBMT: IB2400512717-00. Bên mời thầu: Văn phòng Hội Nhà báo Việt Nam. Đóng thầu: 06:00 28/11/24Thứ năm - 21/11/2024 05:50
Số TBMT: IB2400512226-00. Bên mời thầu: Viện Y Học Biển. Đóng thầu: 09:00 01/12/24Thứ năm - 21/11/2024 05:50
Số TBMT: IB2400512706-00. Bên mời thầu: CÔNG TY TRÁCH NHIỆM HỮU HẠN TƯ VẤN ĐẦU TƯ XÂY DỰNG ĐÔNG DƯƠNG HÀ GIANG . Đóng thầu: 08:00 02/12/24
Thứ năm - 21/11/2024 06:00
Số KHLCNT: PL2400282862-00. Chủ đầu tư: ỦY BAN NHÂN DÂN PHƯỜNG HIỆP AN. Ngày đăng tải: 18:00 21/11/24Thứ năm - 21/11/2024 06:00
Số KHLCNT: PL2400282899-00. Chủ đầu tư: Văn phòng HĐND-UBND quận Hoàn Kiếm. Ngày đăng tải: 18:00 21/11/24Thứ năm - 21/11/2024 06:00
Số KHLCNT: PL2400282905-00. Chủ đầu tư: Trường Tiểu học Phúc Diễn. Ngày đăng tải: 18:00 21/11/24Thứ năm - 21/11/2024 06:00
Số KHLCNT: PL2400272249-01. Chủ đầu tư: UBND thị trấn Tân Lạc. Ngày đăng tải: 18:00 21/11/24Thứ năm - 21/11/2024 06:00
Số KHLCNT: PL2400282897-00. Chủ đầu tư: Trường THCS Gia Sinh. Ngày đăng tải: 18:00 21/11/24