Tháng bảo mật PHP

Quản Trị Mạng - Thông tin chính thức về hơn 20 lỗ hổng bảo mật vừa được tiết lộ một phần của tháng bảo mật PHP –Month of PHP Security (MOPS), sẽ được tổ chức vào cuối tháng 5 này. Trong đó, 8 lỗ hổng có liên quan trực tiếp đến các ứng dụng PHP, còn 12 lỗi khác có ảnh hưởng đến PHP. 4 bài viết tỉ mỉ cũng sẽ được trình bày cụ thể tại buổi hội thảo này.

Khái niệm MOPS, vốn được khởi xướng bởi chuyên gia bảo mật PHP - Stefan Esser, và là 1 phần của dự án Month of PHP Bugs – MOPB, lần đầu được tổ chức vào năm 2007, sẽ liên tục cập nhật và trao đổi thông tin về tính bảo mật của PHP trong suốt tháng 5. Không giống như MOPB, MOPS đề cập đến thông tin được cung cấp từ cộng đồng và các nhà phát triển PHP.

Những vấn đề nghiêm trọng được phát hiện gần đây được tìm thấy trong 1 lỗ hổng mã injection của Xinha, trình biên tập WYSIWYG là 1 phần của hệ thống Serendipity CMS, tiếp theo là lỗ hổng injection SQL của forum DeluxeBB và hệ thống ClanSphere CMS.

Thực tế, trong bản thân PHP, có rất nhiều chức năng khác nhau chứa đựng nhiều lỗi đa dạng, ví dụ những lỗi này cho phép tin tặc xâm nhập vào hệ thống và khai thác thông tin cá nhân dựa vào bộ nhớ đệm, quá trình ghi, lưu giữ thông tin và trao đổi qua lại giữa môi trường server – client. Những bản vá lỗi chính thức đã được phát hành có thể vá những lỗ hổng này, không đơn thuần chỉ dành cho PHP mà còn cả những ứng dụng third party. Tuy nhiên, việc nghiên cứu và mô tả chính xác từng lỗi riêng biệt sẽ giúp ích rất nhiều cho các chuyên gia bảo mật trong quá trình sửa lỗi.