forum.opennet.ru - "Уязвимости в платформе электронной коммерции Magento " (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Уязвимости в платформе электронной коммерции Magento "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в платформе электронной коммерции Magento "	+/–
Сообщение от opennews (ok) on 26-Янв-16, 11:51
В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), выявлено (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) 20 уязвимостей (https://magento.com/security/patches/supee-7405). Проблемы уже устранены (https://magento.com/security/patches/magento-201-security-up...) в выпусках Magento 1.9.2.3, 1.14.2.3 и 2.0.1. Две XSS-проблемы помечены как критические. Первая проблема позволяет (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, добавленный через форму регистрации путём задания специально оформленного значения в поле с email (например, можно указать "><script>alert(1);</script>"@mail.ru). Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса и получить полный доступ к системе. Вторая проблема даёт возможность подставить JavaScript-код в примечание к заказу при использовании модуля PayFlow Pro, впоследствии данный код будет выполнен при просмотре администратором списка заказов. <center><a href="https://blog.sucuri.net/wp-content/uploads/2016/01/Magento-S... src="https://www.opennet.ru/opennews/pics_base/0_1453792900.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center> URL: https://blog.sucuri.net/2016/01/security-advisory-stored-xss... Новость: https://www.opennet.ru/opennews/art.shtml?num=43759
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в платформе электронной коммерции Magento , Филимон Озадаченный, 13:44 , 26-Янв-16, (3) +2

Уязвимости в платформе электронной коммерции Magento , Онотоле, 15:08 , 26-Янв-16, (4) +2

Уязвимости в платформе электронной коммерции Magento , Анончег, 21:58 , 26-Янв-16, (10) +1

Уязвимости в платформе электронной коммерции Magento , Crazy Alex, 15:41 , 26-Янв-16, (5) +1

Уязвимости в платформе электронной коммерции Magento , Аноним, 17:22 , 26-Янв-16, (6) –2

Уязвимости в платформе электронной коммерции Magento , клоун, 18:06 , 26-Янв-16, (8) –1

Уязвимости в платформе электронной коммерции Magento , lol, 18:48 , 26-Янв-16, (9) +1

Уязвимости в платформе электронной коммерции Magento , тоже Аноним, 01:05 , 27-Янв-16, (11) –2

Уязвимости в платформе электронной коммерции Magento , Crazy Alex, 06:24 , 27-Янв-16, (12)

Уязвимости в платформе электронной коммерции Magento , Онотоле, 11:09 , 27-Янв-16, (13) +1

Сообщения по теме [Сортировка по времени | RSS]

3. "Уязвимости в платформе электронной коммерции Magento " +2 +/–

Сообщение от Филимон Озадаченный on 26-Янв-16, 13:44

>>Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса
Не по холиварить, просто интересно: из каких соображений эти куки не http only ? И почему админские сессии не привязываются к IP ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимости в платформе электронной коммерции Magento " +2 +/–

Сообщение от Онотоле (ok) on 26-Янв-16, 15:08

Потому что разработчики были так заняты темплейтами на XML, что совсем забыли что у них могут быть какие то там XSS и сессии.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Уязвимости в платформе электронной коммерции Magento " +1 +/–

Сообщение от Анончег on 26-Янв-16, 21:58

Онотоле голова, рубит прямо в корень проблемы.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Уязвимости в платформе электронной коммерции Magento " +1 +/–

Сообщение от Crazy Alex (ok) on 26-Янв-16, 15:41

По-моему гораздо более интересный вопрос - как в здоровенной, распространённой и много лет существующей получилось, что что-то может быть введено без фильтрации и выведено без экранирования? По идее, такие вещи должны на полном автомате каким-то слоем реализовываться.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Уязвимости в платформе электронной коммерции Magento " –2 +/–

Сообщение от Аноним (??) on 26-Янв-16, 17:22

Справедливости ради - тот факт, что разрабам приходится тратить своё время и следить за всей это хернёй является прямым недостатком html и отличным аргументом в пользу его замены на что-то более прогрессивное.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимости в платформе электронной коммерции Magento " –1 +/–

Сообщение от клоун on 26-Янв-16, 18:06

HTML язык разметки, а не програмиирования. Попытки использования инструмента не по назначению ничем хорошим обычно не заканчиваются. И список web-технологий, только названия которых уже занимают больше А4 мелким шрифтом это подтверждает.
С решением согласен: если уж хочется динамического web-программирования, нужно создавать среду для этого. И лучше чтобы это было не WWW и не HTTP. Пусть это будет JWS (Java Web Script) и JTTP и открываться будет что-то типа jws://jttp.site.ru

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Уязвимости в платформе электронной коммерции Magento " +1 +/–

Сообщение от lol (??) on 26-Янв-16, 18:48

ну и сидите вдвоем на своем JWS/JTTP, фанатики.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Уязвимости в платформе электронной коммерции Magento " –2 +/–

Сообщение от тоже Аноним (ok) on 27-Янв-16, 01:05

Если оно реально будет работать и реально будет обещать профит - все может оказаться не так незыблемо, как кажется.
Браузеров сейчас немного, и они постоянно ищут, чем бы выдвинуться (даже мелкомягкий), так что новый протокол вполне могут внедрить - сначала экспериментально, потом уверенно.
Сервер по юзер-агенту определит, что браузер уже современный, сделает редирект с http: на jws: - и армия пользователей начнет расти сама собой, без всякого активного участия с их стороны...
Сначала крупные порталы, для которых и процент пользователей - это масса, потом интранеты подхватят, банки-платежные системы, а там и в широкий мир пойдет.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Уязвимости в платформе электронной коммерции Magento " +/–

Сообщение от Crazy Alex (ok) on 27-Янв-16, 06:24

Учитывая, что WebAssembly уже на взлёте, и что это совместный проект мозиллы, гугла и майкрософта - ни у каких JWS/JTTP шансов вообще никаких, что весьма радует, так как избавляет от привязки к "единственно правильной" среде. А про вторую часть можно забыть уже сейчас - с транспортом никаких проблем нет, уже перелопатили, введя HTTP/2 и перед этим WebSockets - оба вполне приличны.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Уязвимости в платформе электронной коммерции Magento " +1 +/–

Сообщение от Онотоле (ok) on 27-Янв-16, 11:09

Оу, представляю сколько малварей появится...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. "Уязвимости в платформе электронной коммерции Magento "	+2 +/–
Сообщение от Филимон Озадаченный on 26-Янв-16, 13:44
>>Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса Не по холиварить, просто интересно: из каких соображений эти куки не http only ? И почему админские сессии не привязываются к IP ?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Уязвимости в платформе электронной коммерции Magento "	+2 +/–
	Сообщение от Онотоле (ok) on 26-Янв-16, 15:08
	Потому что разработчики были так заняты темплейтами на XML, что совсем забыли что у них могут быть какие то там XSS и сессии.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	10. "Уязвимости в платформе электронной коммерции Magento "	+1 +/–
	Сообщение от Анончег on 26-Янв-16, 21:58
	Онотоле голова, рубит прямо в корень проблемы.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	5. "Уязвимости в платформе электронной коммерции Magento "	+1 +/–
	Сообщение от Crazy Alex (ok) on 26-Янв-16, 15:41
	По-моему гораздо более интересный вопрос - как в здоровенной, распространённой и много лет существующей получилось, что что-то может быть введено без фильтрации и выведено без экранирования? По идее, такие вещи должны на полном автомате каким-то слоем реализовываться.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

6. "Уязвимости в платформе электронной коммерции Magento "	–2 +/–
Сообщение от Аноним (??) on 26-Янв-16, 17:22
Справедливости ради - тот факт, что разрабам приходится тратить своё время и следить за всей это хернёй является прямым недостатком html и отличным аргументом в пользу его замены на что-то более прогрессивное.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Уязвимости в платформе электронной коммерции Magento "	–1 +/–
	Сообщение от клоун on 26-Янв-16, 18:06
	HTML язык разметки, а не програмиирования. Попытки использования инструмента не по назначению ничем хорошим обычно не заканчиваются. И список web-технологий, только названия которых уже занимают больше А4 мелким шрифтом это подтверждает. С решением согласен: если уж хочется динамического web-программирования, нужно создавать среду для этого. И лучше чтобы это было не WWW и не HTTP. Пусть это будет JWS (Java Web Script) и JTTP и открываться будет что-то типа jws://jttp.site.ru
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "Уязвимости в платформе электронной коммерции Magento "	+1 +/–
	Сообщение от lol (??) on 26-Янв-16, 18:48
	ну и сидите вдвоем на своем JWS/JTTP, фанатики.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. "Уязвимости в платформе электронной коммерции Magento "	–2 +/–
	Сообщение от тоже Аноним (ok) on 27-Янв-16, 01:05
	Если оно реально будет работать и реально будет обещать профит - все может оказаться не так незыблемо, как кажется. Браузеров сейчас немного, и они постоянно ищут, чем бы выдвинуться (даже мелкомягкий), так что новый протокол вполне могут внедрить - сначала экспериментально, потом уверенно. Сервер по юзер-агенту определит, что браузер уже современный, сделает редирект с http: на jws: - и армия пользователей начнет расти сама собой, без всякого активного участия с их стороны... Сначала крупные порталы, для которых и процент пользователей - это масса, потом интранеты подхватят, банки-платежные системы, а там и в широкий мир пойдет.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "Уязвимости в платформе электронной коммерции Magento "	+/–
	Сообщение от Crazy Alex (ok) on 27-Янв-16, 06:24
	Учитывая, что WebAssembly уже на взлёте, и что это совместный проект мозиллы, гугла и майкрософта - ни у каких JWS/JTTP шансов вообще никаких, что весьма радует, так как избавляет от привязки к "единственно правильной" среде. А про вторую часть можно забыть уже сейчас - с транспортом никаких проблем нет, уже перелопатили, введя HTTP/2 и перед этим WebSockets - оба вполне приличны.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Уязвимости в платформе электронной коммерции Magento "	+1 +/–
	Сообщение от Онотоле (ok) on 27-Янв-16, 11:09
	Оу, представляю сколько малварей появится...
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору