Helpex - Trao đổi & giúp đỡ Đăng nhập

Những gì chúng ta có thể học được từ hack phpBB.com của ngày hôm qua

Hôm qua máy chủ phpBB.com đã bị hack. Những người, giống như tôi, đã trở lại vào thời của phpBB2 sẽ được nhắc nhở về các lỗi bảo mật được tìm thấy trong phần mềm hồi đó. Tuy nhiên, đây không phải là nguyên nhân của vụ hack này. Đó là một phiên bản chưa từng có của một gói PHP khác gây ra vụ hack, nó đã phơi bày trong số những thứ khác cơ sở dữ liệu người dùng đầy đủ và một số mật khẩu máy chủ.

Như một số bạn có thể biết, tôi từng là Trưởng nhóm hỗ trợ của Nhóm hỗ trợ phpBB trong thời của phpBB2. Sau đó, tôi đã có rất nhiều chuyện tồi tệ, cùng với phần còn lại của nhóm hỗ trợ, cố gắng theo kịp các bản phát hành, sai sót, các bản vá và hàng ngàn và hàng ngàn người dùng phpBB đã bị một trong số các lỗ hổng bảo mật.

Hầu hết người dùng bị lỗi bảo mật là - may mắn thay và không may - không phải người dùng bị tấn công bởi các khai thác không xác định hoặc khai thác được công bố chưa được vá. Thay vào đó, hầu hết các lần truy cập đều dễ dàng nhận được vì rất nhiều người dùng phần mềm phpBB không theo kịp các phiên bản mới và / hoặc các bản vá bảo mật. Thay vào đó, họ để phiên bản phpBB dễ bị tổn thương cũ của họ chạy chưa được vá và mở để khai thác. Rất nhiều lời chỉ trích của người dùng tại thời điểm đó chỉ là một phần công bằng; nếu họ cập nhật diễn đàn của họ lên phiên bản mới nhất, họ sẽ không bị tấn công. Chắc chắn, điều đó có nghĩa là đã có một khai thác trong phiên bản trước đó và đó không phải là một điều tốt, nhưng ít nhất nhóm phpBB đã cố gắng vá các lỗ hổng ngay khi chúng được thông báo về vấn đề này.

Do các vấn đề về bảo mật trong phpBB2, nhóm phpBB đã quyết định sử dụng mã hoàn toàn mới của họ cho phpBB3 để được kiểm tra kỹ lưỡng bởi công ty số một trên thế giới về bảo mật PHP: Stefan Esser's SektionEins . Các vấn đề được tìm thấy bởi SektionEins đã nhanh chóng được giải quyết trước khi phát hành cuối cùng của phpBB3, đảm bảo bắt đầu một cơ sở mã hóa an toàn. Vì vậy, khi tôi nhận được thông báo về vụ hack ngày hôm qua (thông qua e-mail do tin tặc gửi đến tất cả những người đăng ký danh sách gửi thư thông báo phpBB), tôi khá chắc chắn rằng đó không phải là bản thân phpBB đã bị lạm dụng.

Bản thân hacker (chính cô?) Đã xác nhận điều này. Email được gửi đi chứa rất nhiều chi tiết về cách anh ta vào máy chủ bằng cách sử dụng khai thác trong phiên bản chưa được chỉnh sửa của trình quản lý danh sách gửi thư phpList . Tôi hoàn toàn không đồng ý với quyết định của hacker bao gồm xuất toàn bộ bảng người dùng của phpBB.com, cũng như bao gồm các thông tin "riêng tư" khác như mật khẩu, tuy nhiên tôi phải nói rằng tôi rất ấn tượng với mức độ của chi tiết rằng hacker đã tiết lộ về cách anh ta xâm nhập vào máy chủ và tôi nghĩ phpBB nên học được điều gì đó từ việc này.

Mặc dù vậy, tôi nghĩ rằng cả thế giới có thể học được điều gì đó từ đây: Máy chủ của bạn chỉ an toàn như liên kết yếu nhất của bạn. Vì vậy, nếu bạn sử dụng bất kỳ phần mềm nguồn mở của bên thứ ba nào, hãy đảm bảo rằng bạn luôn sử dụng phiên bản mới nhất và bạn đăng ký danh sách gửi thư thông báo về các bản phát hành mới. Điều này sẽ đảm bảo rằng bạn được thông báo khi các phiên bản mới được phát hành, để bạn có thể vá cài đặt của mình lên phiên bản mới nhất và khắc phục mọi lỗ hổng trong phần mềm.

Vì vậy, ngay cả khi bạn xây dựng ứng dụng của mình an toàn nhất có thể và được kiểm toán bởi một công ty bên ngoài, hãy đảm bảo rằng bạn không chỉ kiểm tra ứng dụng của mình mà còn cả môi trường mà nó chạy.

Ban đầu được đăng tại Left trên Web

1 hữu ích 0 bình luận 9.5k xem chia sẻ

Có thể bạn quan tâm

loading