Hỗ trợ kiểm tra bảo mật cho các quản trị website Việt Nam

Theo thống kê của SecurityDaily thì trong hơn 200 website của Việt Nam bị các hacker Trung Quốc tấn công đã công bố. Phần lớn các lỗi trong các website site do việc sử dụng không đúng cách, sử dụng bản cũ của plugin FCKEditor và sử dụng dịch vụ WebDAV. Đây là những lỗi mà hacker có thể sử dụng các công cụ tấn công tự động. Đó là lý do chúng ta có thể thấy một loạt các website bị deface, chèn các file nội dung xấu nhưng chúng đều có nội dung giống hệt nhau.

Về FCKEditor

FCKeditor (còn gọi là CKEditor) là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các web site mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.

Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKEditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thưc mục, phân quyền thực thi trong các thưc mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.

Để khắc phụ lỗi này, quản trị website nên thực hiện các công việc sau

  1. Xóa các thưc mục upload test trên website.
  2. Cấu hình phân quyền thư mục, phân quyền thực thi theo kiểu file trong thư mục upload.
  3. Hoặc có thể cập nhật phiên bản mới của FCKEditor tại đây: http://ckeditor.com/

Về WEB DAV

WebDAV (World Wide Web Distributed Authoring and Versioning) là một tập hợp các mở rộng cho giao thức HTTP dùng để cung cấp một cách thức chuẩn cho việc biên tập và quản lý file giữa các máy tính trên Internet. Người quản trị có thể thêm, xóa, chỉnh sửa, … các file trực tiếp trên máy chủ web một cách dễ dàng.

WEBDav chứa một số lỗi (WebDAV Remote Code Execution, cho phép ghi file, bypass authentication hay cả Buffer Overflow trong Win2000… )

Khai thác lỗi này kẻ tấn công có thể vượt qua cơ chế bảo vệ để liệt kê thư mục, file; đọc file, tạo file,.. quan các phương thức PUT, DELETE.

Công cụ kiểm tra lỗ hổng trực tuyến

Nhằm hỗ trợ các quản trị website dễ dàng nhận biết website của mình đang mắc lỗ hổng này hay không, Security Daily cùng các bạn trẻ yêu thích ATTT trong nhóm: Hỗ trợ các website Việt Nam khắc phục sự cố ATTT – SecurityDaily Experts xây dựng công cụ kiểm tra các lỗi FCKEditor & WEBDav (đang hoàn thiện) online để mọi người tiện sử dụng. Để kiểm tra website của mình mọi người truy cập website: http://Scan.SecurityDaily.NET.

Bình luận

Từ khóa: