Ngoisao - Bi lua tu tay xoa blog


Daily news from Vietnam's most popular Online Magazine Includes world national sports business	Ngoisao News Daily Economy Online Internet Magazine Gateway IXP ISP ICP FPT Portal Tin nhanh Cap nhat Bao Dien tu Vietbao TinViet VietNews Mua Ban Rao Vat Tu Van Viec Lam Hanoi Ha Noi Saigon Sai gon Tin tuc Tintuc Hue Da Nang Danang VDC Netnam Saigonnet Sggp VET Nhandan Nhan dan Laodong Lao dong Kinhte Kinh te Kinhdoanh Kinh doanh	Copyright © 1997-2008 Vietnam Ngoisao

Entry được độc giả và các blogger yêu thích nhất tuần từ 27/10 - 5/11 với 26,7% phiếu bầu chọn (162/606 phiếu):
Mối tình đầu - Blogger Nam Hoàng

Câu chuyện tình yêu

Khám phá các nước

Thể thao

Xã hội qua mắt blogger

'Lăng kính blogger'

Việt Nam của tôi

Gia đình thương yêu

Bài nhiều comment

Tiếp

Sống là không chờ đợi...

Dù em là tình nhân

Tôi 25

Không cần cố gắng để yêu

Thứ hai, 5/3/2007, 08:58 GMT+7

Bị lừa tự tay xóa blog

Một lỗi trong hệ thống nhật ký online được chuộng nhất hiện nay ở VN có thể bị kẻ xấu lợi dụng để chơi khăm người khác bằng cách dụ họ bấm vào đường link dạng câu lệnh xóa nội dung trong blog của nạn nhân. Người mắc bẫy sẽ tự "ra tay" với những dòng tâm huyết của mình hoặc chia sẻ từ bạn bè.

Phát hiện ra lỗ hổng này, Nguyễn Ngọc Long, Quản trị mạng tại một doanh nghiệp CNTT lớn trong nước, mô tả đây là lỗi CSRF (Cross Site Request Forgery), phương pháp mượn tay người khác để thực hiện một hành động không được phép.

Kẻ xấu có thể khiến nạn nhân tự tay xóa thông tin trên blog của mình. Ảnh chụp màn hình.

Thay vì thiết lập một cơ chế minh bạch cho các thao tác xóa, sửa nội dung thông tin để tránh xảy ra việc xóa nhầm, nhà cung cấp dịch vụ Yahoo 360 đã không thiết kế riêng một trang quản trị mà tất cả thông qua cookie và session... nhằm làm giản tiện cho người dùng. Vì vậy, nếu ai đó muốn chơi xấu là xóa một entry hay comment trên blog của người khác, sẽ chuẩn bị một link có tham số là xóa một nội dung theo định dạng của blog đó rồi tìm cách dụ nạn nhân bấm vào. Khi đó, nếu nạn nhân đang trong tình trạng login sẵn vào blog của mình (có nghĩa là cookie và session... đã lưu sẵn ở trên máy), mà mắc bẫy sẽ chủ động xóa nội dung được chỉ định trong link.

Trung tâm An ninh mạng BKIS nhận định kẻ xấu có thể khai thác lỗi này để tấn công vào blog của người sử dụng. Tuy nhiên, "việc ném đá giấu tay" dạng này chỉ có thể dừng lại ở việc tấn công từng blog chứ chưa thể "tàn phá" trên diện rộng vì muốn "nhắm" blog nào phải chuẩn bị riêng link nguy hại cho site đó.

Nguyễn Ngọc Long cho biết đã gửi cảnh báo về lỗ hổng này đến nhóm quản trị của Yahoo 360 nhưng chưa thấy có hồi âm nào. "Theo tôi, người dùng Yahoo 360 tạm thời không nên đăng nhập vào 'ngôi nhà ảo' của mình hay của người khác trước khi lỗi này được nhà cung cấp chỉnh sửa", Long nói.

Ông Vũ Ngọc Sơn, chuyên gia của BKIS, cũng khuyến cáo: "Trong thời gian chờ đợi Yahoo 360 thắt chặt hơn mức an toàn cho các blog cá nhân, người sử dụng nên cẩn thận hơn với các link lạ, đồng thời nên backup những bài viết quan trọng của mình".

(Theo VnExpress)

Phản hồi của blogger về bài viết (0/1)

1. Cẩn thận nhé (11/3/2007)

Ý kiến của bạn

Tên :
E-mail :
Tiêu đề :

Đề nghị gõ tiếng Việt có dấu

Off Telex VNI VIQR



Chú nhóc (05/03) Triết lý bên nồi lẩu (05/03) Bộ tiền giấy xưa (04/03) Tản mạn cho em (03/03) Hà Nội của tôi (03/03) Viết blog chửi thầy (02/03) Đến nhà 'Cải Bắp' chơi (02/03) Mua danh ảo giá rẻ (01/03) 108 tuổi vẫn mê blog (01/03) Lễ hội hoa anh đào (01/03) Shopping qua blog (01/03) Xin lỗi em, anh hết chịu nổi rồi (28/02) Hiền Thục cùng con gái ở Pháp (27/02) Nắng trên cầu Nhật Lệ (27/02) Nó (26/02)