เมื่อวานนี้ (2 มิ.ย. 2558) มีการเผยแพร่ช่องโหว่ ที่อ้างว่าเป็นของเว็บแอพพลิเคชันซึ่งถูกพัฒนาและใช้กันมากในหน่วยงานรัฐ สถาบันการศึกษาและหน่วยงานอื่นๆ โดยเป็นช่องโหว่ประเภท SQL injection และกลุ่มแฮกเกอร์ชาวอินเดียเป็นผู้ประกาศช่องโหว่และวิธีการโจมตี
ช่องโหว่นี้จะเป็นการสร้างคำสั่ง SQL ไปยังพารามิเตอร์ &id_sub_menu=
ในไฟล์ /core_main/module/web/blog/blog.php
ซึ่งส่งผลให้ผู้โจมตีเข้าถึงข้อมูลในระบบได้โดยไม่ได้รับอนุญาต และในกรณีที่เว็บไซต์นั้นมีความปลอดภัยอยู่ในระดับต่ำ ความเสียหายของการโจมตีจะยิ่งร้ายแรงมากขึ้น จากการตรวจสอบพบว่ามีเว็บไซต์ที่มีช่องโหว่นี้อยู่ถึง 53,100 ราย ทางที่ดีที่สุดคือควรหยุดใช้งานในทันทีครับ
แก้ไข: จากความคิดเห็นของผู้อ่าน คาดว่า CMS ตัวนี้มีชื่อว่า OBECLMS ครับ
Comments
CMS สัญชาติไทย ชื่อ??
ไม่มีชื่อระบุไว้เลยจากการดูเบื้องต้นครับ ถ้าตรงนี้มีข้อมูลเพิ่มเติมจะแก้ไขให้นะครับ
เอา path ไปหา google น่าเป็น cms ให้โรงเรียนต่างๆ ใครรู้ชื่อไรช่วยบอกบ้างครับ
น่าจะ http://www.ops****.co.th/ มาร์คไว้หน่อยครับ
น่าจะ OBECLMS ผมลองเอา "core_main/module/web/blog/blog" ไปหา เจอบางเว็บ error ที่ path นี้แล้วมีลิงค์ไป http://www.opstech.co.th/index.php ครับ เลยคิดว่าน่าจะใช่
ถึงจะไม่ใช่ CMS นี้
เว็บหน่วยงานรัฐก็รั่วกระจายอยู่แล้ว
ข้าขอทรยศต่อคนทั้งโลก ดีกว่าให้ใครมาทรยศข้า
แถมตัว CMS มีให้โหลดไปแงะโค้ดกันเองได้ด้วย ยิ่งแฮคกันสบายเลยหละครับ
CMS ตัวนี้ มีช่องโหว่เพียบเลย เลิกใช้เป็นดีที่สุด
ลองเข้าไปดูแบบสุ่มๆแล้วเจอผลงานที่ hacker ฝากไว้
ผู้ดูแล เขารู้ยังนี่
1. ยังไม่รู้ ไม่ค่อยเข้ามาดู ทำไปงั้นๆ
2. ยังไม่รู้ ไม่มีใครแจ้ง ไม่ค่อยมีใครเข้าไปดู
3. รู้แล้ว แต่แก้ไมได้ ทำไปตามที่สั่งมา
4. รู้แล้ว แต่ช่างมัน ไม่ว่าง
5. ฯลฯ
หลังหกโมง น่าจะเลิกงานแล้วล่ะครับ
ผู้ดูแลรับทราบและกำลังแก้ไขอยู่ครับ
น่าจะเป็นงั้นนะครับ ไม่ใช่ว่าโรงเรียนชอบใช้นะ แต่เขานำเสนอมาให้อย่างนี้ก็ใช้ตามๆกันไป
คนที่รู้เรื่องมีไม่ค่อยเยอะหรอกครับ อันที่จริงเขานำเสนอให้ใช้เป็น intranet แต่ส่วนมากเอามาใช้ internet
แต่ถึงยังไงส่วนมากมันก็ไม่ได้มีอะไรมากมายนะเท่าที่ผมเห็น ข้อมูลพื้นฐานทั่วๆไป
เดี๋ยวนี้เห็นกลับมาฮิต wordpress กับ GoogleSite อีกละ ^^