未分割的漏洞暴露了玛顿在线商店到攻击
Oracle的下一个大型企业正在销售您的信息
上诉法院不会对净中立规则进行挑战
尽管注释偏损,三星对Galaxy S8的需求很大
HMRC与IT系统的第一阶段一起生活
Quest与Qorestor一起进行软件。下一站,云
常问问题:什么是802.11ay无线技术?
Microsoft Word Exploit链接到乌克兰冲突的网络目录
为Bromley和Croydon展望无人驾驶汽车
Druva Research表明,成本节省仍然缺乏云用户的供不应求
它必须为启用物联网的数字工作场所准备
NHS数字人员有冗余的风险,作为重组的一部分
印度IT巨头TCS将IBM和埃森哲视为最近的竞争对手
百度将分享自动车辆技术
Newisys Bare Metal NVME盒子目标性能市场
培训H-1B持有的替代品的IT工人旨在为国会瞄准
Atos为数字苏格兰展示了愿景
Fintech初创公司在英国观看
国会议员调查数字政府进度
语音设置为项目进入工作场所,预测Gartner报告
NSA建议使用虚拟化来保护智能手机
AMD展示了Vega在NAB处理8K图形的能力
科技不会解决海关边境问题,欧盟委员会的房子发现
视频:中兴通讯的第一个Android SmartWatch在这里
Apple订购了来自三星的7000万个可弯曲的OLED屏幕,为新的iPhone
由于数据库不佳,数字项目失败
金融服务公司面临潜在的安全重磅炸弹
网络安全双代理在英国最常见
三星可以用S8智能手机重试势头
近三分之一的组织仍然没有准备好gdpr
框改变平台定价以简化开发人员的采用
三星将在Galaxy S8之后推出新的旗舰智能手机月
谷歌的Android Hacking比赛未能吸引漏洞利用
阿森纳将Acronis放入防御分析云备份
Xero击中了史诗百万客户标记
劳工处指责谷歌的妇女
Qualcomm的快速充电4即将到来的Middear
随着3月份的疯狂今晚一包,安全技术准备好了
寻找正确的网络安全产品的顶级提示
OpenReach完成历史上最大的统治转移
银行黑客离开了线索,可能将它们与朝鲜联系起来
CloudFlare希望保护IOT连接到互联网
AT&T测试开关以获得更好的未来服务
常问问题:Blackberry / TCL可以恢复其智能手机Mojo吗?
政府泵5100万英镑进入威尔士科科技中心
伦敦科技初创公司授予15,000英镑,作为市长的“智能城市”倡议的一部分
微软的酷量子计算计划包括低温记忆
企业可以保存Facebook机器人吗?
Oracle计划'Startup组织'专注于云计算,AI和VR
全国建筑协会增加了超过十亿英镑的花费
您的位置:首页 >科技 > 通信技术 >

未分割的漏洞暴露了玛顿在线商店到攻击

2021-08-13 19:44:16 [来源]:

Magento电子商务平台中的一个未分割的漏洞可能允许黑客上传并在主持在线商店的Web服务器上上传和执行恶意代码。

来自安全咨询障碍的研究人员发现了缺陷,它位于一个检索Vimeo上托管的视频的预览图像的功能。此类视频可以添加到Magento中的产品列表中。

DefenSecode研究人员确定如果图像URL指向不同的文件,例如PHP脚本,Magento将下载该文件以验证它。如果文件不是图像,则该平台将返回“不允许的文件类型”错误,但赢取了“T实际上将其从服务器中删除。

一个攻击者可以访问利用此缺陷可以通过首先欺骗Magento来下载.htaccess配置文件,以下载下载目录中的PHP执行,然后下载恶意PHP文件本身。

在服务器上,PHP脚本可以充当后门,可以通过将浏览器指向它来从外部位置访问。例如,攻击者可以使用它来浏览服务器目录并从Magento的配置文件中读取数据库密码。这可以公开存储在数据库中的客户信息,在网上商店的情况下,可以非常敏感。

唯一的限制是,这种漏洞不能直接利用,因为视频链接功能需要认证。这意味着攻击者需要访问目标网站上的帐户,但这可以是较低特权的用户,不一定是管理员。

如果网站未打开“添加秘密密钥”选项,也可以容易地克服身份验证障碍物。此选项旨在防止跨站点请求伪造(CSRF)攻击,并默认启用。

CSRF是一种攻击技术,涉及强制用户浏览器在访问不同的时在网站上执行未经授权的请求。

“攻击可以在电子邮件或公共留言板中作为<img src = ...添加如<img src = ...“攻击者还可以使用用户使用社交工程来打开CSRF链接。”

这意味着只需单击电子邮件中的链接或访问专门制作的网页,在其浏览器中具有活动的Magento会话的用户可能会滥用危害网站的帐户。

DECENSECODE研究人员声称他们在11月份向Magento开发商报告了这些问题,而是从那时起,没有关于修补计划的信息。

自11月以来,Magento Community Edition(CE)的几个版本已被发布,最近一个星期二为2.1.6。根据DefenSecode,所有Magento CE版本都会继续脆弱,这是促使他们公开缺陷的原因。

“我们一直在积极调查报告的问题的根本原因,并不知道野外的攻击,”玛格托,监督电子商务平台的公司的公司,在一封电子商务的陈述中表示。“我们将在下一个补丁发布中解决这个问题,并继续始终如一地努力改善我们的保证程序。”

“强烈建议所有用户强制执行”添加秘密密钥到URL“,这使得CSRF攻击向量减轻了CSRF攻击向量”。“为了防止通过任意文件上传的远程代码执行,服务器应在受影响目录中禁止.htaccess文件。”

Magento由超过250,000多家在线零售商使用,使其成为黑客的有吸引力的目标。去年,研究人员发现了数以千计的基于Magento的在线商店,这些商店被妥协和感染了恶意代码,这些代码脱脂了支付卡详细信息。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。