Internet

Ranjivosti Moodle-a

Istraživači su otkrili dve velike ranjivosti u popularnoj web aplikaciji za udaljeno učenje Moodle kojom napadač može da dobije pristup korisničkom računu nastavnika ili administratora. Za razliku od komercijalnih aplikacija kao Blackboard/WebCT, sistem Moodle je besplatan i prilično popularan u obrazovnoj zajednici u svetu.

Prema rečima Adriana Pastora, istraživača kompanije ProCheckUp koji je obavio penetracijsko testiranje aplikacije, sistem je ranjiv na tzv. cross-site scripting i cross-site request forgery napade. Cross-site scripting napad dozvoljava napadaču umetanje proizvoljnog JavaScript koda unutar bloga kojim je moguće ukrasti identifikator korisničke sednice, a time i predstaviti se kao pomenuti korisnik.

Cross-site request forgery šalje lažni zahtev za izmenu korisničkog profila i nakon što korisnik klikne na web link, napadač dolazi do e-mail adrese korisnika kojom kasnije može da promeniti lozinku i tako otuđiti korisnički račun. Kompanija Moodle objavila je da se ranjivosti odnose na sve verzije starije od 1.8.0 i najavila izdavanje zakrpa.

Leave a Reply