Cảnh báo về lỗ hổng bảo mật trên Vietnamworks.com

6 years ago
Bug Report

Chào các bạn, lại là mình =))

Website được nhắc đến lần này là vietnamworks.com (VNW). Tương đối hot với một thằng đang thất nghiệp như mình :((. Post này đã được viết từ lúc mình phát hiện bugs, gồm thông tin chi tiết về những lỗi mình dùng để exploit Vietnamwork. Tuy nhiên đến hôm nay (ngày đăng bài), những lỗi mình báo chưa được fix toàn diện, vậy nên mình sẽ nói rõ trong phần sau.

Còn bây giờ sẽ viết lại, và censord 1 vài thứ, hị hị.

Một chút lí do, tháng trước khi thấy có bugs, mình liên lạc với VNW thông qua email hỗ trợ, cung cấp thông tin lỗi và có thông báo rằng VNW còn rất nhiều bugs như vậy. Phía VNW cũng đã reply với mình, tuy nhiên chỉ tiếp nhận thông báo mà không đề cập đến vấn đề fix lỗi.

Hai tuần sau đó mình có mail lại hỏi xem bên đó có update nào không, thì được Support báo lại là bên IT vẫn không có phản hồi . Và bây giờ là hơn 1 tháng kể từ khi mình báo bugs, vẫn chưa có update nào từ technical của VNW, nên mơ mộng về bài post full exploit VNW được dời lại sau :(.

Thâm tâm cũng hơi thất vọng vì cách xử lí hời hợt của VNW (mặc dù bạn support trả lời mail mình rất lịch sự và dễ thương)

Vì là cảnh báo, nên mình vô đề luôn.

Đầu tiên, một trong các site con của VNW dính Sql Injection, hiện tại dù URL mình thông báo đã được fix, vẫn còn những URL khác có thể bị exploit bằng cách khai thác này.

Thông tin password quản trị

Mật khẩu đã được mã hóa, có lẽ sau khi VNW dính cái phốt Lưu mật khẩu plaintext, nhưng với SQLi, toàn bộ thông tin db coi như phơi bày với người dùng.

Thứ hai, như bao trang khác, VNW đang bị dính lỗi XSS,  bao gồm domain chính http://vietnamworks.com và domain con.

Ảnh hưởng của lỗi này sẽ không được mình nhắc lại nữa. Chắc nhiều bạn nghĩ XSS thì có gì ghê gớm, thì mình lấy VNW làm ví dụ luôn. Lợi dụng lỗi này, mình đã lấy quyền truy cập được vào trang quản lí của VNW. Với quyền quản trị hệ thống thì có lắm thứ hay ho để mần nhé.

Truy Cập Trang Quản Trị

Mình xin nhắc lại là ở thời điểm hiện tại, cả site chính và site con của VNW vẫn còn tồn tại lỗi.

Rất mong phía VNW chú tâm đến những thông báo mình đã gửi và thực hiện quét những lỗ hổng còn lại (mình cũng rất vui lòng được hỗ trợ cơ mà chỉ contact được đến support, vẫn chưa thấy bạn technical nào).

Một bài report chi tiết lỗ hổng và cách khai thác sẽ được mình update trong thời gian tới.

Hết thông báooooo.

Hẹn gặp các bạn vào bài post lần sau.

A&C

About the Author

A&C

Thanh niên ham chơi hơn ham học, thích bay nhảy hơn đi mần, tinh thần giao lưu kết bạn nhưng ngại tiếp xúc. Mong manh khó vỡ, ảo tưởng sức mạnh >:)

Follow A&C:

Leave a Comment: