24/06/2013 00:41 GMT+7

Hàng loạt website ĐH Trung Quốc bị tấn công dồn dập

PHONG VÂN
PHONG VÂN

TTO - Hầu hết các trường Đại học nổi tiếng tại Thượng Hải, Trung Quốc đã bị hacker tấn công, có trường bị hack đến 25 lần.

* WordPress phát hành bản cập nhật bảo mật* Những lỗi bảo mật thường gặp của CMS

5f919qDK.jpgPhóng to
Người dùng Internet tại Trung Quốc - Ảnh minh họa: Internet

Theo công ty an ninh mạng hàng đầu tại Trung Quốc Qihu360, điểm bảo mật trung bình cho các website của các trường Đại học tại Trung Quốc thường ở mức 55/100 điểm. Và 2/3 trong số website trường Đại học đều "gục ngã" trước các đợt thử nghiệm bảo mật của Qihu360.

Đáng chú ý có những hệ thống website bị hacker thâm nhập rất nhiều lần, lần lượt gầm website ngành Kỹ sư Khoa học của ĐH Thượng Hải (25 lần), ĐH Jiao Tong Thượng Hải (23 lần) và ĐH Fudan (17 lần). Trong tháng 6, hacker đã tấn công các website trường Đại học 113 lần mỗi ngày.

Theo Qihu360, kỹ thuật thường dùng để tấn công các website là SQL Injection (chèn mã độc hại để tấn công vào cơ sở dữ liệu SQL).

* Nhịp Sống Số: Thế giới tin tặc ở Trung Quốc | Trung Quốc có hacker giỏi nhất thế giới?

WordPress: hãy nâng cấp ngay phiên bản mới

Phiên bản WordPress 3.5.2 vừa được phát hành bởi nhóm phát triển WordPress.org, khuyến cáo tất cả người dùng đang sử dụng nền tảng CMS-blog này cập nhật ngay để khắc phục 12 lỗi, gồm 7 lỗi bảo mật nguy hiểm và một số bổ sung tăng cường bảo mật cho WordPress.

r3YJlgyy.jpgPhóng to
Phần mềm WordPress được rất nhiều các website lớn trên thế giới sử dụng như BBC, Telegraph, Gizmodo, Engadget...

* Xem: Máy chủ web dùng WordPress bị tấn công hàng loạt | WordPress 3.5 trình làng công cụ quản lý mới

Một số lỗi dạng XSS khá nguy hiểm trong thư viện SWFUpload, một nguy cơ bị tấn công-từ chối-dịch vụ (DDoS), một lỗi XSS trong thư viện TinyMCE... được khắc phục trong bản cập nhật WordPress 3.5.2. Các lỗi trên được cảnh báo từ các chuyên gia và từ cộng đồng người dùng WordPress.

Chi tiết các lỗi và thông tin cập nhật, tải phiên bản mới tại WordPress.org.

Ngoài ra, một thông tin đáng chú ý từ nghiên cứu dài 160 trang do Văn phòng Liên bang Đức về An toàn thông tin (BSI) công bố, yếu điểm lớn của các phần mềm quản lý nội dung web (CMS) gồm Drupal, Joomla, Plone, Typo3 và WordPress là "những tiện ích, chức năng cộng thêm từ bên thứ ba" (plug-in, extension, add-on).

Các phân tích dựa trên các yếu tố gồm: vòng đời sản phẩm, các thiết lập bản ghi lịch sử hệ thống (log), các chế độ bảo vệ dữ liệu và một số yếu tố khác. BSI chọn các phần mềm CMS vì chúng thường là mục tiêu của hacker khi muốn thâm nhập vào mạng nội bộ của một doanh nghiệp. Hơn nữa, do các phần mềm CMS thường được sử dụng phổ biến và ít được chỉnh sửa nên khi có lỗi, chúng sẽ bị khai thác tấn công đại trà. Khi đó, nhiều website cùng lúc chịu nguy cơ tấn công.

* Xem: Drupal.org bị hack, dữ liệu gặp nguy |

Theo BSI, các tiện ích mở rộng cho website do bên thứ ba phát triển là nguy cơ bảo mật lớn, thay vì mã nguồn gốc của CMS đó. Lấy ví dụ từ WordPress, chỉ 20% của các lỗi được tìm thấy trong mã nguồn gốc, 80% lỗi đến từ add-on. Tỉ lệ này còn tăng cao hơn với Drupal (CMS hàng đầu hiện nay bên cạnh Joomla), gồm 5% (mã gốc) và 95% (extension).

0kkvSvAl.jpgPhóng to
Tỉ lệ các loại lỗi bảo mật từ nhóm 5 phần mềm CMS phổ biến nhất hiện nay. Nghiên cứu được thực hiện bởi Văn phòng Liên bang Đức về An toàn thông tin (BSI)

BSI khuyến cáo người dùng không nên sử dụng chế độ bảo mật mặc định của CMS, thay vào đó, nên tìm kiếm các phương thức thiết lập chế độ bảo mật cấp cao hơn, lời khuyên từ các chuyên gia về những tùy chọn bảo mật bổ sung và luôn ghi nhớ cập nhật phiên bản mới nhất của phần mềm ngay khi nó được phát hành.

Trở thành người đầu tiên tặng sao cho bài viết 0 0 0
Bình luận (0)
    Xem thêm bình luận