The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

26.01.2016 10:21  Уязвимости в платформе электронной коммерции Magento

В открытой платформе для организации электронной коммерции Magento, которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), выявлено 20 уязвимостей. Проблемы уже устранены в выпусках Magento 1.9.2.3, 1.14.2.3 и 2.0.1.

Две XSS-проблемы помечены как критические. Первая проблема позволяет при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, добавленный через форму регистрации путём задания специально оформленного значения в поле с email (например, можно указать "><script>alert(1);</script>"@mail.ru). Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса и получить полный доступ к системе. Вторая проблема даёт возможность подставить JavaScript-код в примечание к заказу при использовании модуля PayFlow Pro, впоследствии данный код будет выполнен при просмотре администратором списка заказов.



  1. Главная ссылка к новости (https://blog.sucuri.net/2016/0...)
  2. OpenNews: Критическая уязвимость в платформе электронной коммерции Magento
  3. OpenNews: Половина протестированных интернет-магазинов на платформе Magento подвержены критической уязвимости
  4. OpenNews: eBay поглотил производителя открытой платформы Magento eCommerce
  5. OpenNews: Открытый проект Magento получил 22.5 млн. долларов инвестиций
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: magento
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, Филимон Озадаченный, 13:44, 26/01/2016 [ответить] [смотреть все]
  • +2 +/
    >>Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса

    Не по холиварить, просто интересно: из каких соображений эти куки не http only ? И почему админские сессии не привязываются к IP ?

     
     
  • 2.4, Онотоле, 15:08, 26/01/2016 [^] [ответить] [смотреть все]
  • +2 +/
    Потому что разработчики были так заняты темплейтами на XML, что совсем забыли что у них могут быть какие то там XSS и сессии.
     
     
  • 3.10, Анончег, 21:58, 26/01/2016 [^] [ответить] [смотреть все]
  • +1 +/
    Онотоле голова, рубит прямо в корень проблемы.
     
  • 2.5, Crazy Alex, 15:41, 26/01/2016 [^] [ответить] [смотреть все]
  • +1 +/
    По-моему гораздо более интересный вопрос - как в здоровенной, распространённой и много лет существующей получилось, что что-то может быть введено без фильтрации и выведено без экранирования? По идее, такие вещи должны на полном автомате каким-то слоем реализовываться.
     
  • 1.6, Аноним, 17:22, 26/01/2016 [ответить] [смотреть все]
  • –2 +/
    Справедливости ради - тот факт, что разрабам приходится тратить своё время и сле... весь текст скрыт [показать]
     
     
  • 2.8, клоун, 18:06, 26/01/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    HTML язык разметки, а не програмиирования. Попытки использования инструмента не по назначению ничем хорошим обычно не заканчиваются. И список web-технологий, только названия которых уже занимают больше А4 мелким шрифтом это подтверждает.

    С решением согласен: если уж хочется динамического web-программирования, нужно создавать среду для этого. И лучше чтобы это было не WWW и не HTTP. Пусть это будет JWS (Java Web Script) и JTTP и открываться будет что-то типа jws://jttp.site.ru

     
     
  • 3.9, lol, 18:48, 26/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    ну и сидите вдвоем на своем JWS/JTTP, фанатики.
     
     
  • 4.11, тоже Аноним, 01:05, 27/01/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Если оно реально будет работать и реально будет обещать профит - все может оказаться не так незыблемо, как кажется.
    Браузеров сейчас немного, и они постоянно ищут, чем бы выдвинуться (даже мелкомягкий), так что новый протокол вполне могут внедрить - сначала экспериментально, потом уверенно.
    Сервер по юзер-агенту определит, что браузер уже современный, сделает редирект с http: на jws: - и армия пользователей начнет расти сама собой, без всякого активного участия с их стороны...
    Сначала крупные порталы, для которых и процент пользователей - это масса, потом интранеты подхватят, банки-платежные системы, а там и в широкий мир пойдет.
     
     
  • 5.12, Crazy Alex, 06:24, 27/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Учитывая, что WebAssembly уже на взлёте, и что это совместный проект мозиллы, гугла и майкрософта - ни у каких JWS/JTTP шансов вообще никаких, что весьма радует, так как избавляет от привязки к "единственно правильной" среде. А про вторую часть можно забыть уже сейчас - с транспортом никаких проблем нет, уже перелопатили, введя HTTP/2 и перед этим WebSockets - оба вполне приличны.
     
  • 3.13, Онотоле, 11:09, 27/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Оу, представляю сколько малварей появится...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList