ការវាយប្រហារទៅលើ PHP Code ធ្វើអោយវេបសាយជាច្រើនរបស់ WordPress ទទួលហានិភ័យ

0

លោក Sam Thomas អ្នកស្រាវជ្រាវសុវត្ថិភាពរបស់ក្រុមហ៊ុន Secarma រកឃើញនូវបច្ចេកទេសថ្មីមួយដែលអាចផ្តល់នូវភាពងាយស្រួលសម្រាប់ក្រុមហេគឃ័រធ្វើការកេងចំណេញទៅលើចំណុចរងគ្រោះនៃកម្មវិធី PHP programming language ។ បច្ចេកទេសថ្មីនេះធ្វើឱ្យកម្មវិធីវេបសាយរាប់ពាន់ប្រឈមមុខទៅនឹងការវាយប្រហារពីចម្ងាយរយំមានវេបសាយដែលគ្រប់គ្រងដោយ WordPress និង Typo3 ។

សម្រាប់កំហុសឆ្គងនៅលើ​ PHP នេះ លោក Thomas រកឃើញថា អ្នកវាយប្រហារអាចប្រើប្រាស់នូវចំណុចខ្សោយនៅលើកូដ Functions នេះសម្រាប់ធ្វើការចូលទៅក្នុងទិន្នន័យដែលបានរក្សាទុក។ នៅក្នុងសន្នីសិទនៅក្នុងព្រឹត្តិការណ៍ Black Hat កាលពីសប្តាហ៍មុននេះ លោក Thomas បង្ហាញអំពីរបៀបដែលការវាយប្រហារនេះអាចធ្វើការប្រតិបត្តិប្រឆាំងនៅលើវេបសាយរបស់ WordPress ដោយប្រើប្រាស់នូវ Account របស់ម្ចាស់វេបសាយក្នុងការគ្រប់គ្រងនៅលើ web server នោះ។

អ្នកវាយប្រហារត្រូវធ្វើការ Upload នូវមេរោគចូលទៅក្នុង File System នៅក្នុងប្រព័ន្ធនេះដោយប្រើប្រាស់នូវ “phar://” ។ លោក Thomas បន្ថែមថា អ្នកវាយប្រហារក៏អាចធ្វើការប្រើប្រាស់នូវរូបភាព JPEG សម្រាប់ធ្វើការកែប្រែទិន្នន័យបានផងដែរ។ លោកក៏បានប្រាប់នូវកំហុសឆ្គងនេះទៅកាន់ Typo3 នៅថ្ងៃទី ៩ ខែមិថុនា ឆ្នាំ ២០១៨ ហើយបញ្ហាកើតមាននៅលើជំនាន់ 7.6.30, 8.7.17 និង 9.3 ៕

ប្រភព៖

https://thehackernews.com/2018/08/php-deserialization-wordpress.html

 

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here