ดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งานดาวไม่ได้ใช้งาน
 

วันนี้เจอ Case แจ้งเตือนความปลอดภัย Cross-site Scripting จากรายงานด้านความปลอดภัยของเว็บ Joomla เวอร์ชั่นล่าสุด (3.9.6)
โดยการตรวจสอบ ด้านความปลอดภัย PENETRATION TEST REPORT

 

วิธีการตรวจสอบ สำหรับเจ้าของเว็บสามารถตรวจสอบช่องโหว่นี้ได้ด้วย การใช้ Browser Firefox

https://www.ชื่อโดเมนเว็บเรา/component/users/?view=reset%22%20onLoad=prompt(document.location,%27EnterYourPasswordHere%27)//&Itemid=102

 

ถ้ามี popup ขึ้นมาให้กรอก Password ก็แสดงว่าเว็บเรามีปัญหาด้านความปลอดภัย ระดับปานกลาง อาจโดนยิงคำสั่งหรือสุ่มรหัสผ่านเข้ามาที่เว็บได้

Cross-Site Scripting การตรวจสอบ
ตรวจสอบเจอ เว็บอาจโดน Cross-Site Scripting ได้

เมือตรวจเจอปัญหา เลยได้ไล่หาสาเหตุว่ามาจากส่วนไหน จากการตรวจสอบ Joomla เว็บเบื้องต้นใช้ Joomla เวอร์ชั่นล่าสุด แต่มีการใช้ Joomla Template ที่เป็น Commercial ของผู้พัฒนาเจ้าหนึ่ง
(ขอไม่ลงชื่อ ผู้พัฒนา และ ชื่อเทมเพลต นะครับ ใครต้องการข้อมูลเพิมเติม PM เข้ามาถามได้จากเว็บบอร์ดนะครับ)

สำหรับบทความต่อไปเราจะมา Customize Joomla Template เพื่อเพิ่มความปลอดภัยของเจ้าเทมเพลตตัวนี้กัน