[Trợ giúp] Test bảo mật website vbuzz.vn!

sonnguyentfr

W-------
19/02/2014
0
12 bài viết
[Trợ giúp] Test bảo mật website vbuzz.vn!
Thân gửi các bạn WH!

Hiện nay team bọn mình vừa cho ra sản phẩm http://vbuzz.vn

Vì kiến thức về bảo mật còn nhiều hạn chế, về cả code và network, nay mạn phép nhờ anh em WH bớt chút thời gian test hộ bọn mình http://vbuzz.vn

Có vấn đề gì nhờ anh em post tại đây hộ mình luôn nhé. Anh em cứ tấn công thẳng tay cũng đc ạ!

Tks alot!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

Có bạn nào hỗ trợ giúp mình đc ko?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

sonnguyentfr;11082 đã viết:
Thân gửi các bạn WH!

Hiện nay team bọn mình vừa cho ra sản phẩm http://vbuzz.vn

Vì kiến thức về bảo mật còn nhiều hạn chế, về cả code và network, nay mạn phép nhờ anh em WH bớt chút thời gian test hộ bọn mình http://vbuzz.vn

Có vấn đề gì nhờ anh em post tại đây hộ mình luôn nhé. Anh em cứ tấn công thẳng tay cũng đc ạ!

Tks alot!

Việc kiểm tra bug trên website khá đơn giản do có rất nhiều tool hỗ trợ việc này.
Nếu bạn là dân coder thì việc này kiểm tra bug này sẽ nhanh, quan trọng là khi tìm ra bạn sẽ làm gì ?
Vá các bug đó hay để đó ?
Câu trả lời bạn phải dành một chút time để tìm hiểu về một số lỗi phổ biến và cách lập trình anh toàn tránh mắc phải lỗi đó.
mình có check một chút về web của bạn:

Thông tin
Tên miền
vbuzz.vn
Chủ thể
Công ty cổ phần truyền thông và giải trí Vbuzz
Địa chỉ
1/35/622 Minh Khai, phường Vĩnh Tuy, quận Hai Bà Trưng, TP HCM
Đăng ký tại
Công ty TNHH Thương mại dịch vụ Mắt Bão
Cập nhật lần cuối
2014-02-19 18:00:05

Host IP: 42.112.22.131
Web Server: Microsoft-IIS/7.5
Powered-by: ASP.NET
Link login page: http://vbuzz.vn/dangnhap.html?returnurl=/admin.html

Bug nhiều nhất:
DOM-based Cross-Site Scripting

Bạn nên tham khảo các bài viết sau:
tài liệu về bug:

http://whitehat.vn/threads/5591-Ebook-sql-inection-xss-Local-Attack-Google-Hack.html
http://whitehat.vn/threads/5404-Tai-lieu-bao-ve-web-chong-kieu-tan-cong-SQL-Injection.html
http://whitehat.vn/threads/5047-Tai-lieu-bao-mat-ung-dung-web.html

Tool kiểm tra:
http://whitehat.vn/threads/5256-Cai-dat-su-dung-Acunetix-Web-Vulnerability-Scanner.html
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

DiepNV88;11090 đã viết:
Việc kiểm tra bug trên website khá đơn giản do có rất nhiều tool hỗ trợ việc này.
Nếu bạn là dân coder thì việc này kiểm tra bug này sẽ nhanh, quan trọng là khi tìm ra bạn sẽ làm gì ?
Vá các bug đó hay để đó ?
Câu trả lời bạn phải dành một chút time để tìm hiểu về một số lỗi phổ biến và cách lập trình anh toàn tránh mắc phải lỗi đó.
mình có check một chút về web của bạn:

Thông tin
Tên miềnvbuzz.vn
Chủ thểCông ty cổ phần truyền thông và giải trí Vbuzz
Địa chỉ1/35/622 Minh Khai, phường Vĩnh Tuy, quận Hai Bà Trưng, TP HCM
Đăng ký tạiCông ty TNHH Thương mại dịch vụ Mắt Bão
Cập nhật lần cuối2014-02-19 18:00:05

Host IP: 42.112.22.131
Web Server: Microsoft-IIS/7.5
Powered-by: ASP.NET
Link login page: http://vbuzz.vn/dangnhap.html?returnurl=/admin.html
Cái này thì check đơn giản rồi ^^.


Về các tool này thì mình đã dùng để kiểm tra hết rồi. Acunetix - cái này mình sử dụng cách đây ~7 năm ^^.

Anw: Về các lỗi cơ bản mình đã fix hết rồi, tuy nhiên mình cần sự hỗ trợ của các bạn để kiểm tra thêm, bên cạnh đó đôi lúc vì yếu đố chủ quan mà mình ko nghĩ đến các tình huống khác.

Nên cần sự xem xét của các bạn - khách quan hơn và có thể các bạn ko nắm đc cấu trúc, ko show đc nhiều nên việc tấn công sẽ có nhiều cách và giải pháp khác nhau!

Tks bro DiepNV88!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

Mình đoán bạn là tay code khá cứng đấy các lỗi trên web mảng code đều không có khả năng khai thác cách trol site bạn giờ chỉ là ddos cho hết bandwitch ;).
Chắc chắn bạn sẽ đóng góp rất nhiều cho diễn đàn well come to whitehat.vn :)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

DiepNV88;11103 đã viết:
Mình đoán bạn là tay code khá cứng đấy các lỗi trên web mảng code đều không có khả năng khai thác cách trol site bạn giờ chỉ là ddos cho hết bandwitch ;).
Chắc chắn bạn sẽ đóng góp rất nhiều cho diễn đàn well come to whitehat.vn :)

Tks bro nhiều!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

Đã sql Injection thử, tạm thời ko vấn đề gì :). XSS cũng ko có. Cookie mình chưa thử SQLinjection! Hình như web bạn có sử dụng framework.
Xem access_log nhé!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

k4ngm4;11113 đã viết:
Đã sql Injection thử, tạm thời ko vấn đề gì :). XSS cũng ko có. Cookie mình chưa thử SQLinjection! Hình như web bạn có sử dụng framework.
Xem access_log nhé!
Mình có sử dụng lại phần core của một Opensource.

Tuy nhiên đã sửa lại gần hết rồi

Chờ kết quả tiếp theo của bro!

Tks bro nhiều!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

Một lỗi nghiêm trọng mà các Website thường dính khi sử dụng Json để đẩy dữ liệu:
- Sử dụng đúng tên các controls để gọi ra
Ví dụ:
Tinmoi
Tinhot
hoặc các mục: Videos, danhmuc
...

thường các control đặt tên như thế sẽ bị các hacker tấn công dễ dàng.

Do đó, một lời khuyên cho các bạn là nên sử dụng các con số hoặc một chuỗi random hoặc sử dụng một cái gì đó loằng ngoằng oằn tà là vằn một chút là OK

Bên cạnh đấy sử dụng jcookie và freedomain, static... Mình sẽ chia sẻ vào lúc khác, post đầy đủ cho các bạn nhiều hơn ^^

Tks các Bro!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

Qua một chút test thử mình thấy như sau:
1490892999Screenshot from 2014-02-25 01:03:55.png


Như kết quả scan, có thể thấy có khá nhiều cổng với các dịch vụ tương ứng đang chạy trên server. Hiện tại trên cơ sở dữ liệu khai thác, ứng dụng FileZilla ftpd 0.9.41 beta đã bị khai thác. Do đó bạn cần cân nhắc việc đóng/mở dịch vụ này. Thứ 2 là việc bạn các cổng liên quan tới MySQL 5.5.15 cũng đã có trên cơ sở dữ liệu khai thác. Mình nghĩ bạn cần khắc phục hai vấn đề này. Cấu hình sao cho khi sử dụng các công cụ scan không ra kết quả như trên. Tiếp theo là khi scan tới phần WAF, trang web này nằm sau một WAF và mình đã có thể xác định được loại WAF bạn đang sử dụng điều này tiềm ẩn nguy cơ khi một ai đó hiểu rõ về WAF này có thể bypass qua bộ lọc của WAF (có thể có). Cho nên cũng cần tìm cách loại bỏ tên WAF trong kết quả scan.
Còn về phần web thì mình chưa có thời gian... :D

1490892999Screenshot from 2014-02-25 01:40:09.png
Screenshot from 2014-02-25 01:03:55.png

Screenshot from 2014-02-25 01:40:09.png
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
bác có thể chỉ cho em bác dùng phần mềm gì thiết kế web ko?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

economiccoder;11277 đã viết:
bác có thể chỉ cho em bác dùng phần mềm gì thiết kế web ko?

Bro hỏi câu này thì khó quá :(
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: [Trợ giúp] Test bảo mật website vbuzz.vn!

economiccoder;11277 đã viết:
bác có thể chỉ cho em bác dùng phần mềm gì thiết kế web ko?

Thiết kế web có Dreamware, fontpage.. dùng code tay rất thuận tiện.
Mã nguồn mở joomla, wordpress, drupal... là những framwork dựng sẵn giúp tạo website nhanh hơn được hỗ trợ bởi cộng đồng mã nguồn mở. Các bản vá được cập nhật thường xuyên nên khá an toàn.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên