Sunday, July 19, 2015

Lỗ hổng giúp người dùng Zing Me "nhận vàng Free"

Chào các bạn, có vẻ ai đọc tiêu đề cũng rất khó tin phải không.  Hiện tại thì Zing đã có phiên bản mới cho mọi người sử dụng. Trước khi Zing có bản mới thì Zing bị lỗi phần Inbox (tin nhắn) : hay bị mất tin nhắn đã gửi. Và sau khi ra phiên bản mới được vài ngày, mình có cảm giác không thích phiên bản mới cho lắm nên đã quay về phiên bản cũ để sử dụng. Dùng được vài phút thì tự nhiên có thông báo "Bạn nhận được 1 vàng từ hoạt động đăng trạng thái" cho dù mình còn không đăng trạng thái mới nào. Sau đó cũng có thông báo như sau "Bạn nhận được 2 vàng từ hoạt động đăng ảnh". Và hôm nay mình vừa đi học về và vào Zing thoát phiên bản mới để sử dụng phiên bản cũ thì tự nhiên xuất hiện thông báo "Bạn nhận được huy chương Blogger tiềm năng" và viết được 50 bài Blog cho dù Blog mình mới viết có 16 bài Blog (chưa đến con số 50) mà đã có thông báo này. Ai không tin có thế vào trang cá nhân của mình.
Như trên hình các bạn có thể để ý kĩ các con số và hãy so sánh nó . Và đây chính là lỗ hổng mà mình muốn đề cập đến của Zing Me. Vậy nguyên nhân lỗ hổng này bắt nguồn từ đâu:
- Có rất nhiều khả năng dữ liệu Database của Zing đã quá tải. Đầu tiên từ việc Chia sẻ File của nhóm chính thức bị Zing khóa chức năng này để tránh làm hao tốn dung lượng Database của Zing Me. Những ngày gần đây 1 số hoạt động quen thuộc chúng ta làm trên Zing như : Viết Blog,... khi chúng ta vào thì lại xuất hiện Form thông báo "Chức năng này đang được bảo trì" , đó chính là dấu hiệu nhận biết khi Zing liên tục bảo trì lại hoặc có những hoạt động đã bị Zing "Limit"
- Zing bị dính SQLi. Đây là 1 trình khai thác lỗ hổng có thể đọc được tất cả các dữ liệu của Zing (MySQL) bằng SQLMap nhưng cái này không phải ai cũng làm được
Và còn 1 số nguyên nhân khác mà mình vẫn chưa nói ra, và nếu mình nhớ không nhầm thì Zing từng bị DDoS, Deface bởi 1 người dùng Zing Me. Có thể từ lần đó Zing đã bị phát sinh rất nhiều lỗi. Và cái lỗi mình nêu trên là 1 trong các lỗi đó khiến cho người dùng có thể "nhận vàng Free mà không cần làm gì".
Posted by at

No comments:

Post a Comment

- Cảm ơn bạn đã đọc bài !
- Nếu gặp lỗi, hãy Comment để tác giả hoàn thiện hơn
- Nếu thấy hay, hãy Share cho bạn bè để tác giả có thêm động lực viết thêm các Tut khác

Subscribe to: Post Comments (Atom)