مقدمه:
PHP-Nuke یک سیستم مدیریت محتوا یا به اختصار CMS ( Content Management System ) می باشد.این نرم افزار به علت قابلیت های فراوان و توسعه دهنده های بسیاری که دارد به صورت گسترده ای مورد استفاده قرار گرفته است.توسعه دهنده هایی از ملیت ها و فرهنگ های مختلف PHP-Nuke را در کنار phpBB یک زوج عالی برای تاره کارها و همچنین حرفه های ها کرده است.
هر کس بدون قابلیت ویژه ای می تواند با نصب و تنظیمات مختصری بر روی PHP-Nuke یک وب سایت کامل داشته باشد.علاوه بر آن وب سایت های بزرگ و حرفه ای مانند Linux Journal نیز با بهره گیری از این سیستم مطالب خود را منتشر می کنند.
PHP-Nuke و فارسی :
در مورد استفاده PHP-Nuke با پشتیبانی از فرهنگ فارسی نیز گروه ها و وب سایت های مختلفی در حال کار هستند که موفق ترین آن ها farsiNuke.com می باشد.همچنین کار بر روی بهینه سازی فرهنگ فارسی بر روی phpBB نیز به صورت موازی در حال انجام است.دو وب سایت فعال در این زمینه phpBB فارسی و مجید آنلاین می باشد.
مشکل امنیت :
علت اصلی نگارش این مطلب همین قسمت می باشد.این چند وقت از دوستان مختلف پیغام های مختلف مبنی بر هک شدن وب سایت های مختلف ( فقط 3 تا مختلف ،چرا اعتراض می کنید؟ ) داشتم.تمامی این وب سایت ها از سیستم PHP-Nuke استفاده می کردند و همگی به یک طریق مورد تهاجم قرار گرفته بودند.خوشبختانه گروهی که بیشترین این حملات را انجام داده است – گروه امنیتی آشیانه – تغییر چندانی در سایت های قربانی انجام نداده است و به یک یادداشت اکتفا کرده است.
اما چرا هیچ کس به فکر نیست؟ این سئوالی بود که بعد از دیدن آخرین نمونه از دوستم پرسیدم و دلیل هم تنبلی اعلام شد.
این حمله ها بر اساس عیب بزرگ و همیشگی سیستم PHP-Nuke می باشد. PHP-Nuke SQL Injection اشکال بزرگی است که در نسخه های متفاوت این برنامه به صورت های مختلفی وجود داشته است.
این نقص امنیتی در phpBB نیز وجود دارد که چندی پیش گروه Hat SQUAD یک کد اکسپلویت برای آن ارائه داد :
کد Exploit برای ضعف امنیتی در برنامه phpBB v2.06
و این بار مشکلی مشابه با همین مسئله برای PHP-Nuke کشف شده است.
این مشکل بر اساس آسیب پذیریی که در جستجوی PHP-Nuke وجود دارد صورت می گیرد.درباره نحوهی عمل این آسیب پذیری بیشتر بخوانید :
PHP-Nuke SQL Injection Vulnerabilities
PHP-Nuke 6.9 SQL Injection Vulnerability DESCRIPTION
راه حلی که برای بر طرف کردن این مشکل پیشنهاد شده است به روز کردن این سیستم می باشد.توجه داشته باشید که تا زمانی که این نقص را بر طرف نکنید امکان مورد حمله قرار گرفتن وب سایت شما زیاد است.بسته به نسخه ای که از آن استفاده می کنید می توانید آن را به روز رسانی کنید :
PHP-Nuke 6.0
PHP-Nuke 6.5
PHP-Nuke 6.6-6.9
PHP-Nuke 7.0
تکمیل :
برای کامل تر بودن این مطلب به پیشنهاد احسان چند تا عکس هم ببینید از وب سایت ها بعد از هک شدن:
و در آخر نکته جالب وب سایت آشیانه دات کام بود که لحظاتی بعد از آخرین دیدار من دیگر نبود.
دیدگاهها
9 پاسخ به “مشکل امنیتی در PHP-Nuke”