• Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
AnonyViet
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC
No Result
View All Result
AnonyViet
No Result
View All Result

Lỗ hổng bảo mật trên Plugin Live Chat with Facebook Messenger

AnonyViet by AnonyViet
29/05/2019
in Tin tức
Reading Time: 3 mins read
A A
0

Mục lục bài viết

  1. Chi tiết về lỗ hổng XSS trong Live Chat with Facebook Messenger
  2. Cách bảo mật WordPress bởi các Plugin dính lỗ hổng bảo mật

PLUGIN LIVE CHAT WITH FACEBOOK MESSENGER TRÊN WORDPRESS
DÍNH LỖ HỔNG BẢO MẬT NGHIÊM TRỌNG.

WordPress hiện nay được hàng triệu người sử dụng bởi tính năng nguồn mở. Các Hacker không ngừng tìm cách khai thác các lỗ hổng từ Plugin và Themes để tấn công vào Website. Lần này là Live Chat with Facebook Messenger của Zotabox.

Các bài viết liên quan

Cách mình hack trang web của một trường học 3

Cách mình hack trang web của một trường học

25/06/2022
Cách mình hack trang web của một trường học 4

Cách khai thác lỗi Command Injection

18/06/2022
Follina

Demo cách Khai thác lỗ hổng Follina của Microsoft Word

06/06/2022
redteam toolkit

Hướng dẫn sử dụng RedTeam Toolkit – Phần mềm tìm kiếm lỗi bảo mật

31/05/2022

Plugin này có hơn 30.000 cài đặt theo thống kê từ thư viện WordPress. Theo WordPress.org, Plugin đã được cập nhật bản vá 1.4.9 vào ngày hôm qua. Nếu bạn nào đang sử dụng phiên bản cũ, hãy Update Plugin ngay lập tức nếu không muốn Website bị chuyển sang các trang quảng cáo độc hại. Lỗ hổng này cho phép Hacker thay đổi các thiết lập của plugins mà không cần phải đăng nhập vào wp-admin.

Lỗ hổng bảo mật trên Plugin Live Chat with Facebook Messenger

Chi tiết về lỗ hổng XSS trong Live Chat with Facebook Messenger

Thông qua chức năng AJAX của WordPress, chịu trách nhiệm gửi dữ liệu tới tập lệnh và sau đó nhận lại dữ liệu mà không cần tải lại trang, tính năng update_zb_fbc_code này có thể bị truy cập mà không cần đăng nhập

Như bạn sẽ thấy trong các dòng mã sau đây wp_ajax_update_zb_fbc_code( đối với người dùng được xác thực) & wp_ajax_nopriv_update_zb_fbc_code (đối với người dùng không có đặc quyền). Cả hai đều sử dụng cùng một chức năng update_zb_fbc_code. Do đó, cho phép bất kỳ người dùng nào (đăng nhập hoặc không) có thể sửa đổi cài đặt plugin.

add_action("wp_ajax_update_zb_fbc_code", "update_zb_fbc_code");
add_action("wp_ajax_nopriv_update_zb_fbc_code", "update_zb_fbc_code");

Ngoài ra, chức năng update_zb_fbc_code không có tính năng kiểm tra quyền chứng thực người dùng (CSRF) trước khi cho phép thay đổi cài đặt plugin.

 function update_zb_fbc_code(){
	header('Access-Control-Allow-Origin: *');
   header('Access-Control-Allow-Credentials: true');
	$domain = addslashes($_REQUEST['domain']);
	$public_key = addslashes($_REQUEST['access']);
	$id = intval($_REQUEST['customer']);
	$zbEmail = addslashes($_REQUEST['email']);
	if(!isset($domain) || empty($domain)){
		header("Location: ".admin_url()."admin.php?page=zb_fbc");
	}else{
		update_option( 'ztb_domainid', $domain );
		update_option( 'ztb_access_key', $public_key );
		update_option( 'ztb_id', $id );
		update_option( 'ztb_email', $zbEmail );
		update_option( 'ztb_status_disconnect', 2 );
		wp_send_json( array(
			'error' => false,
			'message' => 'Update Zotabox embedded code successful !' 
			)
		);
	}
 }

Cách bảo mật WordPress bởi các Plugin dính lỗ hổng bảo mật

Anh em nào đang dùng Plugin Live Chat with Facebook Messenger thì nhanh chóng update lên phiên bản 1.4.9. Đảm bảo cập nhật lên phiên bản mới càng sớm càng tốt để giảm thiểu bị tấn công.

Tiến hành cài các Plugin bảo mật như Wordfence Security, Ithemes Security, Sucuri Security… sẽ giúp Website bạn an toàn hơn.  Các Plugin này sẽ tạo lớp tường Tường lửa giúp Website chống lại XSS, CSRF, các bot xấu, SQLi và hơn 100 các cuộc tấn công có thể khác.

Bên cạnh đó bạn hạn chế sử dụng các Plugin, theme không rõ nguồn gốc, nulled. Bạn cũng có thể tự quét lỗ hổng bảo mật cho Website của mình bằng các công cụ trên Kali Linux.

Tags: bảo mậtlỗ hổnglỗ hổng bảo mậtPluginquét lỗ hổng websiteWordPress
Previous Post

Sửa lỗi Chrome gợi ý địa chỉ Website là kết quả tìm kiếm trước đó

Next Post

Hướng dẫn tạo VPS Azure 4h với 14Gb RAM 4 CPU

AnonyViet

AnonyViet

Kiến thức như một ngọn lửa, càng chia sẽ nó sẽ càng bùng cháy!

Related Posts

Cuộc sống tiện nghi hơn với tủ lạnh thông minh
Tin tức

Top 6 món đồ công nghệ nhất định phải có trong nhà

27/06/2022
Khám Phá Ngay 4 Cách Giải Trí Trực Tuyến Hay Tại Nhà 2022
Tin tức

Khám Phá Ngay 4 Cách Giải Trí Trực Tuyến Hay Tại Nhà 2022

22/06/2022 - Updated on 25/06/2022
so sanh tinh nang telegram premium
Tin tức

So sánh Telegram miễn phí và Telegram Premium

20/06/2022
top vga 2022
Tin tức

10 Card đồ họa có giá tốt nhất cho game thủ

10/06/2022
ma doc dinh kem file word
Tin tức

Cảnh giác thủ đoạn đính kèm Virus vào File Word mới nhất 2022

31/05/2022
godeal24
Tin tức

Giá bản quyền Windows 10 chỉ 5.71$, miễn phí nâng cấp lên Windows 11

23/05/2022
Next Post
Cách mình hack trang web của một trường học 5

Hướng dẫn tạo VPS Azure 4h với 14Gb RAM 4 CPU

guest
guest

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

0 Comments
Inline Feedbacks
View all comments

Liên hệ Quảng Cáo

Lien he AnonyViet

Đối tác —

Fshare

Các bài mới

Cuộc sống tiện nghi hơn với tủ lạnh thông minh

Top 6 món đồ công nghệ nhất định phải có trong nhà

27/06/2022
tăng follow fb

Cách tăng follow Facebook miễn phí và nhanh nhất

27/06/2022
Cách mình hack trang web của một trường học 6

6 thay đổi mà người dùng Windows cần chấp nhận khi chuyển sang Linux

26/06/2022
wingiare

Cách cài, mua bản quyền AutoCAD giá rẻ cho Mac M1, Windows

25/06/2022 - Updated on 26/06/2022
Cách mình hack trang web của một trường học 7

Cách mình hack trang web của một trường học

25/06/2022

Ads

Giới thiệu

AnonyViet

AnonyViet

Nơi chia sẻ những kiến thức mà bạn chưa từng được học trên ghế nhà trường!

Chúng tôi sẵn sàng đón những ý kiến đóng góp, cũng như bài viết của các bạn gửi đến AnonyViet.

Hãy cùng AnonyViet xây dựng một cộng đồng CNTT lớn mạnh nhất!

Giới thiệu

AnonyViet là Website chia sẻ miễn phí tất cả các kiến thức về công nghệ thông tin. AnonyViet cung cấp mọi giải pháp về mạng máy tính, phần mềm, đồ họa và MMO.

Liên hệ

Email: anonyviet.com[@]gmail.com

1409 Hill Street #01-01A
Old Hill Street Police Station
Singapore 179369

 

Bản quyền: DMCA.com Protection Status

Bài viết mới

  • Top 6 món đồ công nghệ nhất định phải có trong nhà
  • Cách tăng follow Facebook miễn phí và nhanh nhất
  • 6 thay đổi mà người dùng Windows cần chấp nhận khi chuyển sang Linux
  • Cách cài, mua bản quyền AutoCAD giá rẻ cho Mac M1, Windows
  • Cách mình hack trang web của một trường học
  • Cùng tìm hiểu API, REST API và RESTful API là gì?

©2022 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ. Google iwin888 Bing tải game iwin Github tải iwin apk Github tải win456 Youtube ku fun wikipedia 88vin reddit twin 92lottery sun86 stackoverflow tool tài xỉu 68 club 68 game bài

No Result
View All Result
  • Tin tức
  • Network
    • Mạng cơ bản
    • Hyper-V
    • Linux
    • Windown Server 2012
  • Security
    • Basic Hacking
    • Deface
    • Kali Linux / Parrot
    • SQL Injection
  • Thủ thuật
    • Khóa Học Miễn Phí
    • Code
    • Mẹo Vặt Máy Tính
    • Facebook
    • Windows 7/8/10/11
    • Đồ Họa
    • Video
  • Software
    • Phần mềm máy tính
    • Phần mềm điện thoại
  • Tin học văn phòng
  • Kiến thức
  • MMO
    • Advertisers – Publishers
    • Affiliate Program
    • Kiếm tiền bằng điện thoại
    • Pay Per Click – PPC

©2022 AnonyViet - Chúng tôi mang đến cho bạn những kiến thức bổ ích về Công nghệ. Google iwin888 Bing tải game iwin Github tải iwin apk Github tải win456 Youtube ku fun wikipedia 88vin reddit twin 92lottery sun86 stackoverflow tool tài xỉu 68 club 68 game bài

wpDiscuz
pixel