Phát hiện lỗ hổng trên trang web tuyển dụng Jobvite
Một nhà nghiên cứu bảo mật từ Ai Cập đã tìm thấy hai sai sót trên trang web Jobvite có thể bị tấn công, bao gồm cả máy chủ của công ty. Tác giả đã báo cáo các lỗ hổng nghiêm trọng cho công ty cách đây ba tháng, nhưng công ty này không thực hiện các biện pháp khắc phục cho đến bây giờ. Jobvite ...
Một nhà nghiên cứu bảo mật từ Ai Cập đã tìm thấy hai sai sót trên trang web Jobvite có thể bị tấn công, bao gồm cả máy chủ của công ty. Tác giả đã báo cáo các lỗ hổng nghiêm trọng cho công ty cách đây ba tháng, nhưng công ty này không thực hiện các biện pháp khắc phục cho đến bây giờ.
Jobvite bị dính lỗ hổng Boolean Based SQL injection và Local File Inclusion, hai lỗ hổng phổ biến và cực kỳ nghiêm trọng.
Jobvite là một trang tuyển dụng và theo dõi ứng tuyển, giúp các công ty tuyển dụng ứng viên theo nhu cầu. Các công ty sử dụng trang Jobvite để tìm nguồn cung ứng và giải pháp tìm kiếm tài năng, nhân tài và xây dựng nhân lực tốt nhất cho tổ chức.
Lỗ hổng SQL Injection
Lỗi SQL injection có thể xảy ra khi tin tặc chèn các dữ liệu không hợp lệ tại các điểm người dùng nhập dữ liệu vào ứng dụng web để khai thác lỗi cú pháp trong quá trình xử lý lỗi của hệ thống. Lỗ hổng đạt được khi trình ứng dụng web chấp nhận các dữ liệu bất hợp pháp đó (các chuỗi truy vấn SQL) mà không có chế độ lọc bỏ các ký tự/chuỗi ký tự nguy hiểm này.
Lỗi này có thể giúp tin tặc thực thi các câu lệnh SQL ngay trên hệ thống bị lỗi. Điều này sẽ dẫn đến việc cơ sở dữ liệu bị xâm phạm hoặc bị tin tặc đánh cắp các thông tin nhạy cảm.
Lỗ hổng LFI
Đây là lỗ hổng xảy ra khi website thao tác với các tập tin của hệ thống (include, require, require _ once, include _ once…). Nếu các dữ liệu này được thao tác từ người dùng có thể bị hacker lợi dụng để tấn công website, khai thác thành công lỗ hổng này có thể giúp tin tặc đọc được các tập tin chứa các thông tin nhạy cảm về cơ sở dữ liệu, tài khoản quản trị, … trên hệ thống. Như /etc/passwd hoặc /etc/hosts ….
Fouad người phát hiện lỗ hổng cho biết, ông đã sử dụng các lỗ hổng LFI cho phép ông xem tất cả tài khoản người dùng máy chủ Linux của công ty.
Lỗ hổng SQLi vẫn chưa được vá
Theo Fouad, Công ty này đã không đưa ra bất kỳ xác nhận nào về lỗ hổng SQLi, không rõ đã sửa được chưa, khiến cơ sở dữ liệu của Jobvite dễ bị tin tặc truy cập trái phép. Fouad tin rằng lỗ hổng nghiêm trọng này cũng có thể ảnh hưởng đến trang web oDesk do sự tương tác giữa 2 trang web này.
Theo THN
