مقدمه:
PHP-Nuke یک سیستم مدیریت محتوا یا به اختصار CMS ( Content Management System ) می باشد.این نرم افزار به علت قابلیت های فراوان و توسعه دهنده های بسیاری که دارد به صورت گسترده ای مورد استفاده قرار گرفته است.توسعه دهنده هایی از ملیت ها و فرهنگ های مختلف PHP-Nuke را در کنار phpBB یک زوج عالی برای تاره کارها و همچنین حرفه های ها کرده است.
هر کس بدون قابلیت ویژه ای می تواند با نصب و تنظیمات مختصری بر روی PHP-Nuke یک وب سایت کامل داشته باشد.علاوه بر آن وب سایت های بزرگ و حرفه ای مانند Linux Journal نیز با بهره گیری از این سیستم مطالب خود را منتشر می کنند.
PHP-Nuke و فارسی :
در مورد استفاده PHP-Nuke با پشتیبانی از فرهنگ فارسی نیز گروه ها و وب سایت های مختلفی در حال کار هستند که موفق ترین آن ها farsiNuke.com می باشد.همچنین کار بر روی بهینه سازی فرهنگ فارسی بر روی phpBB نیز به صورت موازی در حال انجام است.دو وب سایت فعال در این زمینه phpBB فارسی و مجید آنلاین می باشد.
مشکل امنیت :
علت اصلی نگارش این مطلب همین قسمت می باشد.این چند وقت از دوستان مختلف پیغام های مختلف مبنی بر هک شدن وب سایت های مختلف ( فقط 3 تا مختلف ،چرا اعتراض می کنید؟ ) داشتم.تمامی این وب سایت ها از سیستم PHP-Nuke استفاده می کردند و همگی به یک طریق مورد تهاجم قرار گرفته بودند.خوشبختانه گروهی که بیشترین این حملات را انجام داده است – گروه امنیتی آشیانه – تغییر چندانی در سایت های قربانی انجام نداده است و به یک یادداشت اکتفا کرده است.
اما چرا هیچ کس به فکر نیست؟ این سئوالی بود که بعد از دیدن آخرین نمونه از دوستم پرسیدم و دلیل هم تنبلی اعلام شد.
این حمله ها بر اساس عیب بزرگ و همیشگی سیستم PHP-Nuke می باشد. PHP-Nuke SQL Injection اشکال بزرگی است که در نسخه های متفاوت این برنامه به صورت های مختلفی وجود داشته است.
این نقص امنیتی در phpBB نیز وجود دارد که چندی پیش گروه Hat SQUAD یک کد اکسپلویت برای آن ارائه داد :
کد Exploit برای ضعف امنیتی در برنامه phpBB v2.06
و این بار مشکلی مشابه با همین مسئله برای PHP-Nuke کشف شده است.
این مشکل بر اساس آسیب پذیریی که در جستجوی PHP-Nuke وجود دارد صورت می گیرد.درباره نحوهی عمل این آسیب پذیری بیشتر بخوانید :
PHP-Nuke SQL Injection Vulnerabilities
PHP-Nuke 6.9 SQL Injection Vulnerability DESCRIPTION
راه حلی که برای بر طرف کردن این مشکل پیشنهاد شده است به روز کردن این سیستم می باشد.توجه داشته باشید که تا زمانی که این نقص را بر طرف نکنید امکان مورد حمله قرار گرفتن وب سایت شما زیاد است.بسته به نسخه ای که از آن استفاده می کنید می توانید آن را به روز رسانی کنید :
PHP-Nuke 6.0
PHP-Nuke 6.5
PHP-Nuke 6.6-6.9
PHP-Nuke 7.0
تکمیل :
برای کامل تر بودن این مطلب به پیشنهاد احسان چند تا عکس هم ببینید از وب سایت ها بعد از هک شدن:
و در آخر نکته جالب وب سایت آشیانه دات کام بود که لحظاتی بعد از آخرین دیدار من دیگر نبود.
دیدگاهها
9 پاسخ به “مشکل امنیتی در PHP-Nuke”
سلام جلال جان خوبی خوش می گذره ببخشی که خدمت نمی رسیدم چند پیش اومدم دانشگاه که ندیدمت موفق باشی راستی اگر کار داشتی میل بزن پی ام نرن! یا حق
سلام , خوبی Jranil ؟
این مشکل امنیتی که تو PHP-Nuke ورژن 7 کشف شده بود خیلی باعث دردسر شد . چون اکسپلویتش هم به راحتی توی SecurityFocusپیدا می شد و … کم تر کسانی که از سیستم های Portal استفاده می کنند کم تر به فکر بروز رسانیش هستن . خوب بهرحال مطلب جالبی بود … موفق باشی
سلام، به اینجا یه سر بزنید
http://forum.majidonline.com/viewtopic.php?p=46888#46888
سلام، خیلی خوب کاری کردی که این مطلب را نوشتی. شاید اینجوری استفاده کنندهگان PHP Nuke به فکر به روز کردن آن بیفتند.
well done :)
سلام
ممنون از مقاله
آقا اینPATH ها که به درد نوک فارسی نمیخوره؟
شما می گید آبدیت کنیم خوب الن بالاترین ورژن 7.1 هست که اونم مشکل داره
بهنام خان لینک این path ها رو که گذاشتم ایراد رو بر طرف می کنه.البته متاسفانه این ایراد به حدی پراکنده است که می تواند از قسمت های مختلف سیستم سرریز کند.
وب گردی
احتمالاً از بعد از عید یه برنامه ی خیلی فشرده دارم که اصلاً فکر نکنم به کارهای دیگه (حتا وب گردی) برسم.. البته هنوز نمی دونم اما خُب ؛) مخفی گا