

› ອອນລາຍ : | 1 |
› ມື້ນີ້ : | 39 |
› ມື້ວານນີ້ : | 65 |
› ອາທິດນີ້ : | 222 |
› ເດືອນນີ້ : | 583 |
ພຶດຕິກໍາທີ່ເປັນອາຊະຍາກໍາທາງລະບົບຄອມພີວເຕີ ທີ່ໄດ້ລະບຸໄວ້ຢູ່ໃນ ກົດໝາຍ: ວ່າດວ້ຍ ການຕ້ານ ແລະ ສະກັດກັ້ນອາຊະຍາກໍາທາງລະບົບຄອມພີວເຕີ ລວມມີພຶດຕິກໍາດັ່ງນີ້: 1. ການເປີດເຜີຍມາດຕະການປ້ອງກັນການເຂົ້າເຖິງລະບົບຄອມພິວເຕີ; 2. ການເຂົ້າເຖິງລະບົບຄອມພິວເຕີ ໂດຍນບໍ່ໄດ້ຮັບອະນຸຍາດ; 3. ການຕັດຕໍ່ເນື້ອໃນ, ຮູບ, ພາບເຄື່ອນໄຫວ, ສຽງ ແລະ ວີດີໂອ ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ; 4. ການລັດເອົາຂໍ້ມູນໃນລະບົບຄອມພິວເຕີ ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ; 5. ການສ້າງຄວາມເສັຍຫາຍຜ່ານສື່ສັງຄົມອອນລາຍ; 6. ການເຜີຍແຜ່ສິ່ງລາມົກຜ່ານລະບົບຄອມພິວເຕີ; 7. ການລົບກວນລະບົບຄອມພິວເຕີ; 8. ການປອມແປງຂໍ້ມູນຄອມພິວເຕີ; 9. ການທຳລາຍຂໍ້ມູນ-ຄອມພິວເຕີ; 10. ການດຳເນີນກິດຈະການ ກ່ຽວກັບເຄື່ອງມືອາຊະຍາກຳທາງລະບົບຄອມພິວເຕີ.
Sucuri ພົບວ່າພາຍຫຼັງເຂົ້າລະບົບ (Login) ແລ້ວ User admin ສາມາດທີ່ຈະດຶງຂໍ້ມູນຂອງຜູ້ເຂົ້າເວັບໄຊໄດ້ ຜ່ານໂຄ້ດ (code) ຕາມດ້ານລຸ່ມ:
ພົບຊ່ອງໂຫວ່ຮ້າຍແຮງໃນ WordPress Plugin ທີ່ມີເວັບໄຊໃຊ້ເຖິງ 300,000 ກວ່າເວັບໄຊ
ຂໍ້ມູນທົ່ວໄປ
Sucuri ພົບຊ່ອງໂຫວ່ SQL Injection ແລະ ມີນັກຄົ້ນຄ້ວາດ້ານຄວາມປອດໄພ ພົບເຫັນ XSS ໃນ plugin ເກັບລາຍລະອຽດການໃຊ້ງານຂອງຜູ້ໃຊ້ ທີ່ຊື່ວ່າ WP Statistics ຊຶ່ງເປັນ plugin ທີ່ໄດ້ຮັບຄວາມນິຍົມຢ່າງຫຼວງຫຼາຍໂດຍພົບວ່າມີການໃຊ້ງານຢູ່ໃນເວັບໄຊເຖິງ 300,000 ກວ່າເວັບໄຊ.
ຈາກຮູບພາບຈະເຫັນວ່າ wpstatistics ໃນດ້ານໜ້າ “includes/functions/functions.php” ສາມາດເຂົ້າເຖິງໄດ້ ຜ່ານ WordPress’ AJAX functionality ຊຶ່ງ function ດັ່ງກ່າວບໍ່ໄດ້ມີການກວດສອບສິດຂອງຜູ້ໃຊ້ງານ ອະນຸຍາດໃຫ້ທຸກຄົນສາມາດຂຽນໄປຕິດຕໍ່ຜ່ານ API ໄດ້ເລີຍ ຊຶ່ງເມື່ອລອງກວດສອບແລ້ວເຫັນວ່າໃນ wp_statistics_searchengine_query() ມີໂຄ້ດໃນສ່ວນ SQL Query ທີ່ບໍ່ປອດໄພ ເຮັດໃຫ້ເກີດ SQL Injection ຂຶ້ນ ໂດຍ Version ທີ່ໄດ້ຮັບຜົນກະທົບຄື Version 12.0.8.1 ລົງມາ.
ອີກຊ່ອງໂຫວ່ທີ່ມີນັກຄົ້ນຄ້ວາດ້ານຄວາມປອດໄພພົບເຫັນ ຄືຊ່ອງໂຫວ່ XSS, ຊຶ່ງຊ່ອງໂຫວ່ດັ່ງກ່າວຈຳເປັນຕ້ອງໄດ້ມີການເຂົ້າສູ່ລະບົບເວັບໄຊ (authentication) ກ່ອນ ໂດຍ WP Statistics ທີ່ເປັນ Version ຕໍ່າກວ່າ 12.0.8.1 ຈະໄດ້ຮັບຜົນກະທົບດັ່ງກ່າວ ການໂຈມຕີຈະເຮັດຜ່ານຕົວແປ ‘ip’ ຈາກ page ‘wps_visitors_page’
ຕົວຢ່າງ: http://mywordpress.com/wp-admin/admin.php?page=wps_visitors_page&ip=%27%3E%3Cimg+src%3Dx+onerror%3Dalert%281%29%3E%3C%22
ຜົນກະທົບ
SQL Injection, XSS
ລະບົບທີ່ໄດ້ຮັບຜົນກະທົບ
WP Statistics version 12.0.8.1 ລົງມາ.
ຂໍ້ແນະນຳໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ
ອັບເດດ WP Statistics ໃຫ້ເປັນ Version ທີ່ສູງກ່ວາ 12.0.8.1 ຂຶ້ນໄປ.
ເອກະສານອ້າງອີງ: