hnvietnam.vn
  • Giỏ hàng

Tin công nghệ

Lỗ hổng nghiêm trọng của một WordPress Plugin có hơn 2 triệu người sử dụng

25/01/2017 09:41:23

Khi bạn sử dụng Code của ai đó, bản thân bạn đang đặt hoàn toàn niềm tin rằng họ biết họ đang làm gì. Tuy nhiên, luôn có một khả năng về việc bất kỳ Plugin hay công cụ nào đó bạn đang sử dụng sẽ có một lỗ hổng bảo mật nghiêm trọng. Trong trường hợp này là Plugin HTML Comment Box, một Plugin nổi tiếng được sử dụng trong khoảng 2 triệu Blog và Website.

Lỗ hổng Lưu trữ XSS

Karim Rahal, một nhà nghiên cứu bảo mật và là một Hacker mũ trắng chỉ mới 14 tuổi tại Lebanon, đã khám phá ra lỗ hổng lưu trữ XSS (cross-site scripting) trong Plugin này.

Phần lớn các nhà phát triển Web có trình độ đều biết cách lọc các đoạn mã độc hại đó. Nhưng vấn đề là có đến hàng nghìn cách khác nhau để những kẻ tấn công có thể che giấu hoặc xáo trộn các đoạn mã XSS độc hại. Vì vậy, chúng có thể vượt qua bộ lọc đó, và rất khó để phòng tránh tất cả các cách thức trên.

Đó cũng chính là cách mà Karim có thể gây tổn thương cho plugin HTML Comment Box. Anh nhúng một đoạn JavaScript thử nghiệm nhỏ vào bên trong thẻ IMG, và sau đó che giấu nó với một cái còn được gọi là tải công việc "Dấu ngoặc mở ngoại lai" (Extraneous open brackets).

Đây là một kỹ thuật anh học được từ bạn mình, một nhà nghiên cứu bảo mật tuổi teen Ibram Marzouk, người khám phá ra một lỗ hổng tương tự trong PasteCoin vài tháng trước đây.

Trên đây là dòng mã mà anh đã sử dụng. Trên thực tế nó không làm được gì nhiều, khi thực thi dòng code này chỉ buộc trình duyệt phải tạo ra một cảnh báo pop-up cho biết "1". Nhưng nó có thể vượt qua được các lớp bảo XSS mà nhà phát triển đã tạo ra trên trang Web.

Nếu được sử dụng bởi những kẻ có ác ý, đoạn code trên có thể được sử dụng để phát tán mã độc, bằng cách buộc người dùng phải tải mã độc về máy tính, hoặc điều hướng người dùng đến các trang Web độc hại.

Công Ty TNHH MTV Giải Pháp Trực Tuyến Hữu Nhân
Trụ sở chính:

Ấp 1, Xã Tam Hiệp, Huyện Châu Thành, Tỉnh Tiền Giang

Điện thoại: 0167 85 88 485 (Từ 08h30 - 17h00)

Hỗ trợ kỹ thuật:

Email: kythuat@hnvietnam.vn

(Cam kết phản hồi sau 15 phút trong giờ hành chính)

Phản ánh:

Điện thoại: 0986 73 74 85 (Từ 08h30 - 22h00)

Email: info@hnvietnam.vn

Hỗ trợ đại lý:

Điện thoại: 0986 73 74 85

Email: daily@hnvietnam.vn

Hỗ trợ trực tuyến
  • Kinh doanh: 0167 85 88 485
  • Hỗ trợ chung: 0986 73 74 85
Chat trực tuyến
  • Visa
  • PayPal
  • VietcomBank
  • DongABank
  • VietinBank
  • SacomBank
  • TechcomBank
  • AgriBank
  • BIDV
  • HDBank
  • OnlineNic
  • ResellerClub
  • VNNIC
  • DirectAdmin
  • CloudLinux
  • VDC
  • Parallels
  • Viettel
  • VinaPhone
  • MobiFone