3

Các hệ thống quản lý nội dung hoặc CMS, trong thập kỷ qua, đã có được số lượng người dùng ấn tượng. Ngày nay, chúng được sử dụng rộng rãi giữa các nhà thiết kế và phát triển web để xây dựng các trang web giàu tính năng và trực quan. Không cần phải nói, sự phổ biến to lớn này đã dẫn đến một loạt các CMS mạnh mẽ và thân thiện với nhà phát triển. Trong loại CMS này, một số người đã xoay sở để trở thành người lãnh đạo và Drupal là một trong số họ!

Công cụ mạnh mẽ và thân thiện với nhà phát triển này đã đạt được những lưu ý đúng đắn với các nhà kỹ trị, lãnh đạo ngành và người dùng internet. Nó thường được sử dụng để tạo các trang web phức tạp, nâng cao và đa năng. Tuy nhiên, chứng minh câu nói cũ "mọi đồng tiền đều có mặt trái", Drupal cũng có mặt tối hơn!

Thử thách số 1 - Trong quá trình cập nhật, nó bị phơi bày với một số phần mềm độc hại và lỗi nghiêm trọng. Điều này tiếp tục cung cấp quyền truy cập dễ dàng cho tin tặc xâm nhập vào hệ thống và cài đặt bị hỏng thông qua các gói cập nhật. Trong một số trường hợp xấu nhất, họ thậm chí có thể xâm nhập vào máy chủ và ảnh hưởng xấu đến trang web.

Mặc dù Drupal không được yêu thích nhiều so với các đối tác như WordPress và Joomla, nhưng nó khá hữu ích cho một số doanh nghiệp quản lý nội dung nghiêm túc. Hơn nữa, nó cũng là một trong những nền tảng được sử dụng nhiều nhất để xây dựng các trang web có quy mô lớn và sẵn sàng cho doanh nghiệp.

Thử thách số 2 - Kẻ tấn công có thể buộc quản trị viên kiểm tra các bản cập nhật do lỗ hổng CSRF trên chức năng cập nhật.

Quá trình cập nhật tải xuống phiên bản văn bản gốc của tệp XML tại http://updates.drupal.org/release-history/drupal/7.x và kiểm tra xem đó có phải là phiên bản mới nhất không. Tài liệu XML này chỉ ra một phiên bản cửa hậu của Drupal.

  • Bản cập nhật bảo mật hiện tại (được đặt tên theo mục đích "7,41 Backdoor")

  • Bản cập nhật bảo mật là bắt buộc và nút liên kết tải xuống

  • URL của bản cập nhật độc hại sẽ được tải xuống

Thử thách số 3 - Cập nhật bảo mật Drupal được chuyển không được mã hóa mà không kiểm tra tính xác thực, điều này có thể dẫn đến thực thi mã và truy cập cơ sở dữ liệu.

Giống như nhiều CMS hiện đại khác, Drupal được tự động cập nhật từ bảng quản trị phụ trợ với một nút bấm. Tuy nhiên, Drupal đã đánh dấu phiên bản 7 và 8 là đã cập nhật, ngay cả khi quá trình vá tự động không thành công, do một số liên kết internet đã chết.

Hơn nữa, chỉ ra các lỗ hổng khác, điều đáng ngạc nhiên là quá trình cập nhật được thực hiện qua HTTP thay vì HTTPS. Không cần phải nói, điều này tiếp tục cung cấp truy cập dễ dàng cho các cuộc tấn công của hacker trên các mạng công cộng.

Tất cả điều này nghe có vẻ đáng sợ, vì nó là một CMS hàng đầu và vì nó được sử dụng rộng rãi để phát triển các trang web phức tạp, tiên tiến và linh hoạt, ví dụ như được sử dụng làm nền tảng cho một cửa hàng trực tuyến. Trên thực tế, nếu những lỗi này không được sửa, rất có thể các quản trị web có thể chuyển sang các nền tảng an toàn hơn như Joomla hoặc WordPress. Đây là thời gian cao mà Drupal sửa lỗi, trước khi nó được liệt kê bởi các quản trị web.

|