مقدمه:
PHP-Nuke يك سيستم مديريت محتوا يا به اختصار CMS ( Content Management System ) مي باشد.اين نرم افزار به علت قابليت هاي فراوان و توسعه دهنده هاي بسياري كه دارد به صورت گسترده اي مورد استفاده قرار گرفته است.توسعه دهنده هايي از مليت ها و فرهنگ هاي مختلف PHP-Nuke را در كنار phpBB يك زوج عالي براي تاره كارها و همچنين حرفه هاي ها كرده است.
هر كس بدون قابليت ويژه اي مي تواند با نصب و تنظيمات مختصري بر روي PHP-Nuke يك وب سايت كامل داشته باشد.علاوه بر آن وب سايت هاي بزرگ و حرفه اي مانند Linux Journal نيز با بهره گيري از اين سيستم مطالب خود را منتشر مي كنند.
PHP-Nuke و فارسي :
در مورد استفاده PHP-Nuke با پشتيباني از فرهنگ فارسي نيز گروه ها و وب سايت هاي مختلفي در حال كار هستند كه موفق ترين آن ها farsiNuke.com مي باشد.همچنين كار بر روي بهينه سازي فرهنگ فارسي بر روي phpBB نيز به صورت موازي در حال انجام است.دو وب سايت فعال در اين زمينه phpBB فارسي و مجيد آنلاين مي باشد.
مشكل امنيت :
علت اصلي نگارش اين مطلب همين قسمت مي باشد.اين چند وقت از دوستان مختلف پيغام هاي مختلف مبني بر هك شدن وب سايت هاي مختلف ( فقط 3 تا مختلف ،چرا اعتراض مي كنيد؟ ) داشتم.تمامي اين وب سايت ها از سيستم PHP-Nuke استفاده مي كردند و همگي به يك طريق مورد تهاجم قرار گرفته بودند.خوشبختانه گروهي كه بيشترين اين حملات را انجام داده است – گروه امنيتي آشيانه – تغيير چنداني در سايت هاي قرباني انجام نداده است و به يك يادداشت اكتفا كرده است.
اما چرا هيچ كس به فكر نيست؟ اين سئوالي بود كه بعد از ديدن آخرين نمونه از دوستم پرسيدم و دليل هم تنبلي اعلام شد.
اين حمله ها بر اساس عيب بزرگ و هميشگي سيستم PHP-Nuke مي باشد. PHP-Nuke SQL Injection اشكال بزرگي است كه در نسخه هاي متفاوت اين برنامه به صورت هاي مختلفي وجود داشته است.
اين نقص امنيتي در phpBB نيز وجود دارد كه چندي پيش گروه Hat SQUAD يك كد اكسپلويت براي آن ارائه داد :
کد Exploit براي ضعف امنيتي در برنامه phpBB v2.06
و اين بار مشكلي مشابه با همين مسئله براي PHP-Nuke كشف شده است.
اين مشكل بر اساس آسيب پذيريي كه در جستجوي PHP-Nuke وجود دارد صورت مي گيرد.درباره نحوهي عمل اين آسيب پذيري بيشتر بخوانيد :
PHP-Nuke SQL Injection Vulnerabilities
PHP-Nuke 6.9 SQL Injection Vulnerability DESCRIPTION
راه حلي كه براي بر طرف كردن اين مشكل پيشنهاد شده است به روز كردن اين سيستم مي باشد.توجه داشته باشيد كه تا زماني كه اين نقص را بر طرف نكنيد امكان مورد حمله قرار گرفتن وب سايت شما زياد است.بسته به نسخه اي كه از آن استفاده مي كنيد مي توانيد آن را به روز رساني كنيد :
PHP-Nuke 6.0
PHP-Nuke 6.5
PHP-Nuke 6.6-6.9
PHP-Nuke 7.0
تكميل :
براي كامل تر بودن اين مطلب به پيشنهاد احسان چند تا عكس هم ببينيد از وب سايت ها بعد از هك شدن:
و در آخر نكته جالب وب سايت آشيانه دات كام بود كه لحظاتي بعد از آخرين ديدار من ديگر نبود.
دیدگاهها
9 پاسخ به “مشكل امنيتي در PHP-Nuke”