Trong bài test thử, hacker tạo một form ẩn, với nội dung và action tới các chức năng trong quản trị trên website của mình. Sau đó lừa quản trị site đang đăng nhập admin tới website của hacker và bằng cách nào đó nhấp nút submit (có thể giả dạng liên kết) để thực hiện việc gửi form đó về website bị tấn công.
Theo đó hacker sẽ có thể thay mặt quản trị site thực hiện được thao tác mong muốn, dữ liệu được hacker thiết lập. Admin đã vô tình tự mình thực hiện các thao tác trên chính site của mình mà mình không hề hay biết.
CORS là chức năng có từ phiên bản 4.3.06 và mặc định được kích hoạt cả khi cài mới hoặc nâng cấp từ các phiên bản cũ lên giúp cho quản trị thiết lập đóng/mở quyền truy vấn XMLHttpRequest bên ngoài đến website.
Ngoài chức năng trên CORS khi được kích hoạt cũng chặn hết các truy vấn bên ngoài đến khu vực quản trị (Xem code) do đó hacker nếu thử tấn công sẽ được kết quả là “Trắng trang”
Nếu bạn là quản trị viên website, hãy làm ngay
Nếu website của bạn ở phiên bản NukeViet 4.x nhỏ hơn 4.3.06 nên lập tức cập nhật lên tối thiểu 4.3.06 nếu có thể hoặc tốt nhất nên cập nhật lên bản mới nhất 4.4.00
Nếu website của bạn từ 4.3.06 trở lên, kiểm tra ngay cấu hình CORS có đang bật không? Mặc định nó tự động bật, nếu vì lý do nào đó bạn tắt đi thì cần bật lại.
Nếu có thể quản trị nên thực hiện theo những hướng dẫn chính thức của BQT tại https://nukeviet.vn/vi/news/Tin-an-ninh/thong-bao-ve-loi-bao-mat-nukeviet-4-x-625.html
Tiếp tục theo dõi thông tin chính thức từ trang chủ để có những cập nhật mới nhất.
