WordPress 最近又再一次發表了更新,今次更新來勢洶洶的,原來有機構發現了有黑客成功通過 WordPress 的留言功能進行 SQL injection;黑客將能於遠端針對成功被入侵的網站任意執行 SQL 指令,現時最新釋出的 WordPress 4.2.4 便修正了有關問題,請各位務必盡快完成更新。
有關漏洞編號為 CVE-2015-2213;除了針對留言功能的 SQL injection 之外,Wordpress 亦指出修正了有可能發生的旁路攻擊(Side-channel attack)。所謂的 Side-channel attack 是指一種因應系統設計、用電量、使用系統資源量、時間差等環境因素而進行的分析及破解密碼行為;
同時今次的更新亦修正了另外幾個漏洞,詳情可到以下網址查看。
https://codex.wordpress.org/Version_4.2.4
請盡快完成更新以避免黑客攻擊!
以上資訊由www.hkitblog.com提供
作為一個網頁程式人員,除了盡量滿足客戶對 Web 的要求外,最重要就是懂得除蟲(Bug Fix),但往往以為所有臭蟲經已排除並為客戶將 Web 上傳,這時問題便隨之而來。臭蟲不能排除或令某些功能不能使用,當用戶嘗試使用該功能時,大多數會顯示 MySQL 錯誤訊息,而這些訊息可以協助程式人員除蟲外,原來也是為駭客開了一個後門,他們使用一種叫 SQL Injection 技術來嘗試查詢這段 MySQL 錯誤,目的是拿取用戶登入資料,甚至拿取最高管理員權限,然後破壞整個系統,造成網站威脅!
而 Web 攻擊是針對 HTTP/HTTPS、URL、session IDs、cookies 等等,因此對於 UTM 防火牆的 IPS/IPD 是無法偵測出來的。其實不單只有 SQL Injection,還有其他 Web 攻擊,例如 XSS、XRSF、session hijacking、overflows。大家試想想 MySQL 錯誤出現在網上銀行網站內,駭客一定很喜歡向這些網站發動大規模 SQL Injection 查詢,如果真的給駭客取得網上銀行用戶登入 資料,我想大家都知道他們下一個動作是什麼了….,因此防止網上銀行網站漏洞亦是 IT 部重中之中的工作。
我們究竟有沒有方法檢查自己的網站有沒有漏洞呢?最起碼知道錯誤在那裡。其實網上有很多專幫客戶網站捉漏洞的公司,大多數名稱都是 Web Vulnerability Scanner,筆者訪問了外國 VampireTech 公司, 他們對網站漏洞相當有研究,其中一個產品名為 VampireScan,可供客戶免費三十日使用。大家記得使用VampireScan 之前一定需要取得授權,取得登入密碼後才可以 scan,假設你沒有授權去 scan Yahoo 的話,VampireScan 會停止你帳戶,永遠無法再執行,請大家緊記。
以上資訊由www.hkitblog.com提供
Categories: 市場快訊 Tags: OVERFLOWS, SESSION HIJACKING, SQL INJECTION, VAMPIRESCAN, VAMPIRESCAN INTRODUCTION, VAMPIRESCAN 介紹, VAMPIRETECH, WEB BUG, WEB BUG FIX, WEB THREAT, WEB VULNERABILITY SCANNER, XRSF, XSS, 網站威脅, 網頁臭蟲, 網頁除蟲