วันนี้เจอ Case แจ้งเตือนความปลอดภัย Cross-site Scripting จากรายงานด้านความปลอดภัยของเว็บ Joomla เวอร์ชั่นล่าสุด (3.9.6)
โดยการตรวจสอบ ด้านความปลอดภัย PENETRATION TEST REPORT
วิธีการตรวจสอบ สำหรับเจ้าของเว็บสามารถตรวจสอบช่องโหว่นี้ได้ด้วย การใช้ Browser Firefox
https://www.ชื่อโดเมนเว็บเรา/component/users/?view=reset%22%20onLoad=prompt(document.location,%27EnterYourPasswordHere%27)//&Itemid=102
ถ้ามี popup ขึ้นมาให้กรอก Password ก็แสดงว่าเว็บเรามีปัญหาด้านความปลอดภัย ระดับปานกลาง อาจโดนยิงคำสั่งหรือสุ่มรหัสผ่านเข้ามาที่เว็บได้
เมือตรวจเจอปัญหา เลยได้ไล่หาสาเหตุว่ามาจากส่วนไหน จากการตรวจสอบ Joomla เว็บเบื้องต้นใช้ Joomla เวอร์ชั่นล่าสุด แต่มีการใช้ Joomla Template ที่เป็น Commercial ของผู้พัฒนาเจ้าหนึ่ง
(ขอไม่ลงชื่อ ผู้พัฒนา และ ชื่อเทมเพลต นะครับ ใครต้องการข้อมูลเพิมเติม PM เข้ามาถามได้จากเว็บบอร์ดนะครับ)
สำหรับบทความต่อไปเราจะมา Customize Joomla Template เพื่อเพิ่มความปลอดภัยของเจ้าเทมเพลตตัวนี้กัน