Messages posted by: xnohat

Đã biên tập

Lỗi bảo mật nghiêm trọng mới nhất trong PHP-CGI khiến lộ mã nguồn website

Một chuyên gia bảo mật người Hà Lan đã tìm thấy một lỗi nghiêm trọng của PHP-CGI mà có thể được kẻ tấn công thực thi từ xa khiến mã nguồn của website bị lộ.

Trong một bài viết [1] được đăng tải lên trang blog cá nhân của mình vào ngày 3/5/2012, Eindbazennói rằng trong khi chơi giải đấu Nullcon CTF, nhóm của anh ta đã để ý thấy nếu họ nhập vào một chuỗi truy vấn là “?-s” thì kết quả là một đối số dòng lệnh (command line argument) “-s” được truyền cho PHP và dẫn đến làm lộ mã nguồn. Sau đó họ phân tích kĩ hơn lỗi này thì thấy mã khai thác có thể được cải tiến để có thể được thực thi từ xa (remote code execution).

Đặc biệt nghiêm trọng hơn khi họ phát hiện ra rằng lỗi này có trong PHP tẩt cả các phiên bản kể từ năm 2004 tới nay, nhóm phát triển PHP rõ ràng đã bỏ quên một phần quan trọng về script command line trong tài liệu RFC của CGI.

Lỗ hổng này được khám phá vào ngày 13/1 và vài ngày sau đó nhóm PHP cũng nhận được thông báo về sự tồn tại của nó. Vào đầu tháng 2, CERT cũng được nhận được thông báo này và kể từ đó nhóm PHP đã làm việc để sớm cung cấp bản vá lỗi.

Vào ngày 2 tháng 5, CERT đã trao đổi với nhóm của Eindbazen rằng PHP cần thêm thời gian để khắc phục vấn đề và họ đã đồng ý không công bố lỗ hổng này nhưng thật không may, ai đó đã làm rỏ rỉ thông tin và chi tiết về lỗi đã được đăng tải trên mạng Reddit. Chính vì sự cố này mà Eindbazen đã quyết định công khai lỗi trên blog của mình vào ngày 3/5.

Hiện tại vẫn chưa có bản vá chính thức và hoàn chỉnh từ PHP dành cho các phiên bản gần đây nhấtlà 5.4.2 và 5.3.12. Trong khi chờ đợi thì nhóm của Eindbazen cũng đưa ra vài các khắc phục tạm thời. Lỗi này chỉ ảnh hưởng tới các bản cài đặt CGI cổ điển, còn các máy chủ chạy FastCGI là an toàn.
(Theo Softpedia.com) [2]

Tham khảo thêm về cách tạm vá lỗi này tại:
[1] PHP-CGI advisory (CVE-2012-1823)
http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
[2] PHP-CGI Flaw from 2004 Leads to Remote Code Disclosure and Execution
http://news.softpedia.com/news/PHP-CGI-Code-Execution-Flaw-from-2004-Leads-to-Code-Disclosure-267589.shtml

Phóng viên - Manthang

http://download.cnet.com/Large-Text-File-Viewer/3000-2379_4-90541.html

Đồ free có đầy nhóc trên mạng

vnpt2324 wrote:

Chào mọi người.
Em đang làm bài tập lớn.
Gặp phần khoá IP trong php. mà không biết làm thế nào.

kịch bản là, Khi người dùng đăng nhập sai quá 5 lần, thì mình sẽ khoá địa chỉ IP đó trong vòng 15 phút.

Rất mong mọi người giúp đỡ ạ!
Cảm ơn nhiều!

Nhiều cách, cơ bản là lưu cái IP đó lại đâu đó gọi là blacklist, mỗi lần ai đó đăng nhập tra IP của họ có trong bảng "phong thần" không thì block. Hoặc set cookie đánh dấu là người đó đã bị block, cookie có hạn là trong 30 phút chẳng hạn, sau đó thì người ta lại vào được.

Add Apache và group root . Đây là điển hình cho kiểu tự sát bảo mật ngay từ khi cấu hình

Vấn đề nằm ở cái headphone female jack nằm trên máy laptop của bồ nó cà chớn. Có thể sử dụng lâu rồi nên phần tiếp xúc bên trong nó đã bị biến dạng, nếu trường hợp này xảy ra thì rất phiền vì rất khó thay linh kiện này vì nó nhỏ nằm trên main

Bồ có thể mua một bộ chia jack ( loại từ 1 lỗ cắm thành 2 lỗ cắm ), cắm vào lỗ jack hiện tại, còn headphone thì cắm qua bộ chia này, và hi vọng với sự cố định ít rút ra cắm vào trực tiếp này thì cái headphone ít bệnh hơn.

Còn không thì bồ nên dùng tai nghe ... bluetooth như một giải pháp tình thế smilie

TND.VN wrote:

vâng trước khi share e đã backup toàn bộ server rồi, với cả nếu có lỗi nào đó thì cũng bị hacker tấn công thôi. Thà thả ra cho các hacker nghịch trước còn hơn sau này hối ko kịp

Cái này cho thấy chính bồ cũng không cover được toàn bộ các rủi ro của hành động share shell này.

Cho dù bồ có restore toàn bộ server từ một disk image ( ví dụ Ghost, Disk clone... ) thì một số rootkit vẫn được cắm lại mà bồ - trong khả năng - không thể gỡ.

Hành động "share shell" nhờ test server kiểu này tôi cho rằng rất không khôn ngoan.

Bồ không thể chắc chắn rằng sau khi "share shell" này bồ có thể clean sạch được hoàn toàn cái server của bồ, nếu nó bị cài cắm backdoor, rootkit, trojan ... etc lại. Hành động share shell này chả khác nào tự mình bóp ... mình trong tương lai

He he stl sản xuất malware theo kiểu công nghiệp rồi, thì mình phải gửi malware cho AV theo kiểu công nghiệp luôn smilie

Mrnguyenphuc wrote:

Cheer..

Có được người góp ý cho mình thì mình phải vui chứ. Mình làm chưa tốt mà phải biết sai sót ở đâu mà còn sửa nữa chứ. Đúng không anh TQN ?

Thanks nha chiro8x ak sao không thấy ông bạn online skype vậy. Thỉnh thoảng trao đổi kinh nghiệm nữa chứ. Mình có viết driver (language c), Android app (java), iOS app (C Object). Rất mong được chỉ giáo thêm.

Hi bồ,

mấy anh em trong HVA đang có làm một dự án nhỏ khá quan trọng về vấn đề điều tiết lưu lượng mạng, sẽ rất tuyệt nếu bồ tham gia, nếu bồ quan tâm thì PM tôi qua Y!M: xnohat hay facebook.com/xnohat nhé

Trân trọng,

jigorokano wrote:

Chả là sau khi tham khảo bài viết " HTTP Session Sidejacking "
Mình có làm lab để kiếm chứng và đúng là có lấy được session của máy Victim, đăng nhập vào tài khoản của họ mà ko cần ID và Password.
Và mình cũng tìm hiểu là session timeout là khoản 15-20', tuỳ người lập trình ^^ ( cái này trước có học làm web nên cũng có tìm hiểu sơ qua ).
Và sau đây là những vấn đề mình thắc mắc sau bài lab của bác Xnohat mong các bác trả lời nhiệt tình, ^^ (mình ko phải là người phá phách hack tài khoản người ta rồi viết bậy bạ lên đó, mình muốn hiểu rõ thêm về những gì mình đang làm và đang học thôi.)

1/ Ví dụ như mình, mỗi lần mình vào tài khoản facebook, thì mình chỉ cần gõ vào facebook, và firefox có chức năng nhớ ID và pass của mình để tự động đăng nhập vào, và như mình đc thấy thì Cain bắt được gói tin đó dưới dạng ID và password đã được mã hoá,
Và sau lần đăng nhập đó thì client và server sẽ xác thực với nhau = session, có đúng không ? Và gói tin session không có ID và password trong đó có phải vậy không? và cứ mỗi lần mình có 1 thao tác vào trang đó, thì session time sẽ được reset lại đúng không ?

2/ Vì nó thuộc về tính năng của http ở tầng ứng dụng nên việc mình thay đổi mạng khác, ví dụ đang sài wireless , rồi tắt wireless qua 3G, miễn sao vần còn trong session time thì vẫn có thể duy trì đăng nhập và kết nối bình thường phải ko các bác? Cái này em chưa thử đc, vì ko có usb 3G kế bên, và khi về nhà thì session đã timeout, nên ko vào fb đó đc nữa

3/Server và client liên lạc với nhau và xác thực với nhau qua session ID và session time phải ko các bác?
Nếu như vậy thì những gói tin mình bắt chỉ là session ID phải ko ợ?

Tạm thời mình có bấy nhiu đó thắc mắc, nếu muốn hỏi nữa, mình sẽ cập nhật, cảm ơn các bác đã đọc bài viết.

Để có câu trả lời tôi đề nghị bồ tự thử nghiệm để thấy rõ. Bồ vào một website bình thường ( không có HTTPS ) có chức năng đăng nhập và chức năng "nhớ mật khẩu" ( không phải nhớ bằng tính năng nhớ mật khẩu của trình duyệt )

Dùng wireshark bắt các gói tin HTTP ( cổng 80 ) trong lúc
1. truy cập website nhưng chưa đăng nhập
2. Thực hiện đăng nhập
3. Lúc đã đăng nhập và chọn "lưu đăng nhập"
4. Lúc tắt trình duyệt, bật lại và truy cập vào lại

Chú ý xem phần COOKIE: trong gói tin để biết trình duyệt và ứng dụng phía máy chủ làm gì với việc đăng nhập và session thực ra là cái gì.

Phòng đọc là nơi chứa các bài viết có gia trị nhât của diễn đàn, do đó các bạn cứ tranh luận ra ngô ra khoai, rồi tôi sẽ tổng hợp lại chỉnh sửa những chỗ sai sót, lạc hậu

anhbeu wrote:

Hi các bác
hiện tại website của em đang bị rất nhiều thành viên sử dụng file swf nhúng vào diễn đàn với bbcode [flash]
Với bất kỳ người nào khi truy cập vào trang có chứa đoạn embed flash đó sẽ tự động bị mở vài popup.
File swf này sử dụng Geturl + _blank để tạo ra popup
em search mãi mà ko thấy có cách khắc phục

ở đây em xin gửi kèm file Flash bị nhúng bằng bbcode đó http://www.mediafire.com/?8bu483g2f7c03r7
cách test:
1. tải file vào localhost
2. type vào trình duyệt localhost/pop1.swf
3. sẽ thấy kết quả.
mong các anh chỉ giúp cách khắc phục

Tôi đề nghị bồ tắt việc hỗ trợ người dùng chèn flash vào website, forum ... vì thông qua flash có thể thực hiện hàng đống tấn công khác nhau như XSS,CRSF,DoS

TSC.Style wrote:

Hiện em đang học lớp 12 và vừa mới nộp hsơ DKDT vào trường đại học Công Nghệ ĐHQGHN.
Em rất thích lĩnh vực IT và đã bắt đầu tập tành lập trình được hơn 1 tuần.
Với AutoIT em chỉ ngồi đọc file Help và tự học với Google. Cũng đã có sản phẩm tuy nhiên nó chưa có gì nổi bật cả. (Phần mềm giúp truy cập Facebook em cũng xin mạn phép để lại cái link http://www.mediafire.com/download.php?zbo6lccpblpw77l)
Thực ra thì phần mềm này chỉ sửa lại file hosts thôi ạ. Hi...

Nhưng vấn đề em cần định hướng là với AutoIT em học thấy khá dễ hiểu. Vào rất nhanh. Nhưng có vẻ như nó không được ưu ái từ các trình diệt virus. Gõ google thì AutoIT đều được gắn cái danh Virus (chắc vì người ta dùng nó để viết virus nhiều quá)

Liệu em có nên tiếp tục theo đuổi trinh phục nó không? Hay em sẽ phải "đổi xe" sang một ngôn ngữ thông dụng như C, Java, Pascal .v...v.......... Em có tìm hiểu thì AutoIT gần giống C Basic thì phải. Không biết có nhảy xe này được không?

Tiện thể em xin anh chị tư vấn về 1 ngôi trường học IT ở Hà Nội.

Em đã nộp hồ sơ vào ĐH CN ĐHQGHN, ĐH Bách Khoa, HV CN Bưu chính viễn thông. Tất cả đều mã ngành D480201 (CNTT) em còn 1 khoảng thời gian từ giờ đến ngày thi là 4/7. Em thi khối A1 và tự tin ở tầm điểm 18~20 nếu E không x2.

Mong anh chị HVA giúp đỡ em định hướng.

Thân ái!

Bản thân tôi cũng khá thích AutoIt vì nó giúp đơn giản rất nhiều bước phức tạp trong lập trình ứng dụng Windows. Tuy nhiên thực tế là AutoIt phù hợp với việc viết app tự xài vì nó bị hầu hết các antivirus diệt ngay tắp lự, mặc cho cái app mình viết có phải là Virus hay không

Nhưng về mặt học lập trình thì tôi khuyên bồ nên học một ngôn ngữ chính quy có kết cấu, cú pháp chặt chẽ như C/C++ , JAVA . Không nên học các ngôn ngữ script từ lúc đầu vì các ngôn ngữ script bị giản lược rất nhiều, thiếu rất nhiều khái niệm căn bản của lập trình nên chúng sẽ ảnh hưởng đến bồ khi bồ cố gắng học các ngôn ngữ chính quy kia sau này.