[Question] Xin kiểm tra bảo mật website www.best.edu.vn |
07/08/2007 22:11:39 (+0700) | #1 | 77293 |
|
dragon3008
Member
|
0 |
|
|
Joined: 15/12/2004 01:35:26
Messages: 2
Offline
|
|
Tôi, dragon3008 đã đọc kỹ qui định kiểm tra bảo mật của HVA, nay mong muốn và ủy quyền cho nhóm kiểm tra bảo mật HVA kiểm tra website tại địa chỉ: http://www.best.edu.vn
Url xác nhận: http://www.best.edu.vn/xacnhan.htm
Đề nghị nhóm kiểm tra bảo mật HVA giữ kín thông tin bảo mật về trang web đã được kiểm tra.
Rất mong nhận được sự hỗ trợ từ HVA cùng các thành viên.
Trân trọng cảm ơn.
dragon3008
YM: motherplan |
|
|
|
|
[Question] Re: Xin kiểm tra bảo mật website www.best.edu.vn |
09/08/2007 22:22:09 (+0700) | #2 | 78046 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Tôi có vài nhận xét về site trên như sau:
1) trang chủ:
không nên dùng 1 flash quá lớn cho một nơi host không có băng thông rộng. Người dùng sẽ cảm thấy khó chịu khi phải đợi trang flash load quá lâu.
2) trang thông tin:
dùng joomla nên tôi sẽ không kiểm tra. Bạn nên cập nhật bản vá của Joomla thường xuyên. Tổng quát mà nói, bạn đang dùng phiên bản php trên máy chủ bị lỗi "session fixation" và lỗi này có thể nhân nhượng Joomla dễ dàng nếu không cập nhật phiên bản mới nhất. Trang thông tin cũng dùng quá nhiều flash với kích thước khá lớn nên load ì ạch.
3) trang diễn đàn:
- các thử nghiệm chèn tags vào URI đều được wwwect đến trang chính của diễn đàn. Chứng tỏ có một cơ chế kiểm soát thông tin request. Tôi không test sâu phần này.
- phần đăng nhập (dùng POST) có thể bị blind sql inject. Xem kỹ lại giá trị user_pass. Nó cho phép chèn "cái gì cũng được".
- apache 1.3.37 là phiên bản đang dùng. Nó không có cơ chế cản lọc hoặc phân tích các thông tin được inject vào HTTP header nên có khả năng bị exploit theo dạng chèn code vào logs (xem chủ đề của Quan Van Truong trong phân mục "thâm nhập").
- cẩn thận với php-fusion vì nó đã dính khá nhiều lỗi bảo mật hết sức nghiêm trọng trong quá khứ.
4) server:
- share hosting ở Digipower.
- cho phép dùng ftp và phiên bản ftp này có lỗi bảo mật. Nên yêu cầu nhà cung cấp dịch vụ cập nhật càng sớm càng tốt.
- php phiên bản quá cũ. Phiên bản này bị dính từ DoS đến việc thực thi code từ xa. Nên yêu cầu nhà cung cấp dịch vụ cập nhật càng sớm càng tốt.
- php cũng bị "session fixation" (như đã đề cập ở trên). PHPSession không control trường hợp này nên có thê bị qua mặt.
Good luck. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Xin kiểm tra bảo mật website www.best.edu.vn |
10/08/2007 18:32:43 (+0700) | #3 | 78120 |
|
dragon3008
Member
|
0 |
|
|
Joined: 15/12/2004 01:35:26
Messages: 2
Offline
|
|
thanks, diễn đàn HVA chậm quá... mình reply cảm ơn hoài mới được |
|
|
[Question] Xin kiểm tra bảo mật website www.best.edu.vn |
10/08/2007 21:04:54 (+0700) | #4 | 78248 |
FaL
Moderator
|
Joined: 14/04/2006 09:31:18
Messages: 1232
Offline
|
|
|
Hãy giữ một trái tim nóng và một cái đầu lạnh |
|
[Question] Re: Xin kiểm tra bảo mật website www.best.edu.vn |
16/08/2007 06:34:26 (+0700) | #5 | 78851 |
|
vinhquangbhxh
Member
|
0 |
|
|
Joined: 02/08/2007 18:48:45
Messages: 3
Offline
|
|
úi giời ahj nó giống lỗi y chang QVT đã use >>>fix |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|