Tags:
Node Thumbnail

เมื่อวานนี้ (2 มิ.ย. 2558) มีการเผยแพร่ช่องโหว่ ที่อ้างว่าเป็นของเว็บแอพพลิเคชันซึ่งถูกพัฒนาและใช้กันมากในหน่วยงานรัฐ สถาบันการศึกษาและหน่วยงานอื่นๆ โดยเป็นช่องโหว่ประเภท SQL injection และกลุ่มแฮกเกอร์ชาวอินเดียเป็นผู้ประกาศช่องโหว่และวิธีการโจมตี

ช่องโหว่นี้จะเป็นการสร้างคำสั่ง SQL ไปยังพารามิเตอร์ &id_sub_menu= ในไฟล์ /core_main/module/web/blog/blog.php ซึ่งส่งผลให้ผู้โจมตีเข้าถึงข้อมูลในระบบได้โดยไม่ได้รับอนุญาต และในกรณีที่เว็บไซต์นั้นมีความปลอดภัยอยู่ในระดับต่ำ ความเสียหายของการโจมตีจะยิ่งร้ายแรงมากขึ้น จากการตรวจสอบพบว่ามีเว็บไซต์ที่มีช่องโหว่นี้อยู่ถึง 53,100 ราย ทางที่ดีที่สุดคือควรหยุดใช้งานในทันทีครับ

แก้ไข: จากความคิดเห็นของผู้อ่าน คาดว่า CMS ตัวนี้มีชื่อว่า OBECLMS ครับ

ที่มา - Thailand Gov Custom Blog WebApp SQL Injection

Get latest news from Blognone

Comments

By: btssky
ContributoriPhoneAndroidRed Hat
on 3 June 2015 - 14:17 #817311

CMS สัญชาติไทย ชื่อ??

By: pe3z
Writer
on 3 June 2015 - 14:45 #817318 Reply to:817311

ไม่มีชื่อระบุไว้เลยจากการดูเบื้องต้นครับ ถ้าตรงนี้มีข้อมูลเพิ่มเติมจะแก้ไขให้นะครับ

By: samaboon on 3 June 2015 - 14:54 #817325 Reply to:817311
samaboon's picture

เอา path ไปหา google น่าเป็น cms ให้โรงเรียนต่างๆ ใครรู้ชื่อไรช่วยบอกบ้างครับ

By: iCyLand
iPhoneAndroidRed HatUbuntu
on 3 June 2015 - 15:03 #817329 Reply to:817325
iCyLand's picture

น่าจะ http://www.ops****.co.th/ มาร์คไว้หน่อยครับ

By: mix5003
AndroidUbuntuWindows
on 3 June 2015 - 15:03 #817330 Reply to:817311

น่าจะ OBECLMS ผมลองเอา "core_main/module/web/blog/blog" ไปหา เจอบางเว็บ error ที่ path นี้แล้วมีลิงค์ไป http://www.opstech.co.th/index.php ครับ เลยคิดว่าน่าจะใช่

By: sariarty
ContributoriPhoneAndroidRed Hat
on 3 June 2015 - 14:30 #817314
sariarty's picture

ถึงจะไม่ใช่ CMS นี้

เว็บหน่วยงานรัฐก็รั่วกระจายอยู่แล้ว


ข้าขอทรยศต่อคนทั้งโลก ดีกว่าให้ใครมาทรยศข้า

By: AmidoriA
UbuntuWindows
on 3 June 2015 - 15:47 #817352
AmidoriA's picture

แถมตัว CMS มีให้โหลดไปแงะโค้ดกันเองได้ด้วย ยิ่งแฮคกันสบายเลยหละครับ

By: mahadoang
Android
on 3 June 2015 - 15:50 #817355

CMS ตัวนี้ มีช่องโหว่เพียบเลย เลิกใช้เป็นดีที่สุด

By: btssky
ContributoriPhoneAndroidRed Hat
on 3 June 2015 - 16:14 #817362

ลองเข้าไปดูแบบสุ่มๆแล้วเจอผลงานที่ hacker ฝากไว้

By: Aoun
AndroidWindows
on 3 June 2015 - 18:07 #817409 Reply to:817362

ผู้ดูแล เขารู้ยังนี่
1. ยังไม่รู้ ไม่ค่อยเข้ามาดู ทำไปงั้นๆ
2. ยังไม่รู้ ไม่มีใครแจ้ง ไม่ค่อยมีใครเข้าไปดู
3. รู้แล้ว แต่แก้ไมได้ ทำไปตามที่สั่งมา
4. รู้แล้ว แต่ช่างมัน ไม่ว่าง
5. ฯลฯ

By: mr_tawan
ContributoriPhoneAndroidWindows
on 3 June 2015 - 19:51 #817435 Reply to:817409
mr_tawan's picture

หลังหกโมง น่าจะเลิกงานแล้วล่ะครับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: cwt
AndroidRed Hat
on 4 June 2015 - 01:31 #817520 Reply to:817435

ผู้ดูแลรับทราบและกำลังแก้ไขอยู่ครับ

By: puzateam
UbuntuWindows
on 3 June 2015 - 20:16 #817450
puzateam's picture

น่าจะเป็นงั้นนะครับ ไม่ใช่ว่าโรงเรียนชอบใช้นะ แต่เขานำเสนอมาให้อย่างนี้ก็ใช้ตามๆกันไป
คนที่รู้เรื่องมีไม่ค่อยเยอะหรอกครับ อันที่จริงเขานำเสนอให้ใช้เป็น intranet แต่ส่วนมากเอามาใช้ internet
แต่ถึงยังไงส่วนมากมันก็ไม่ได้มีอะไรมากมายนะเท่าที่ผมเห็น ข้อมูลพื้นฐานทั่วๆไป
เดี๋ยวนี้เห็นกลับมาฮิต wordpress กับ GoogleSite อีกละ ^^