Magento存在XSS漏洞,在线商城可被攻击者操控

简介:

Magento是一套开源的电子商务系统,是主要面向企业的应用,可处理电子商务各方面的需求,包括像购物、航运、产品评论等等,最终为建设一个多用途和适用面广的电子商务网站提供帮助。

Magento存在XSS漏洞,在线商城可被攻击者操控

  Magento项目小组目前已经发布补丁,修复Magento上一个高危的安全漏洞。

漏洞信息

这个漏洞是一个存储型XSS,是安全厂商Sucuri于2015年11月10日发现的,可实施攻击的场景为:当用户注册一个新账户时或者当用户更改当前账户的邮件地址时等涉及到邮箱账号提交的场景。

该问题关键在于CMS(内容管理系统)如何过滤在用户侧输入的包含邮件地址信息的数据。据Sucuri的研究发现,Magento并没有有效地对邮件地址中可能存在的恶意字符进行过滤。

这种不安全的数据过滤机制能够让攻击者在输入电子邮箱的同时附加上恶意代码。

漏洞分析

这个问题存在于Magento中的app/design/adminhtml/default/default/template/sales/order/view/info.phtml

Magento存在XSS漏洞,在线商城可被攻击者操控

正如从上面的代码段中看到的,template会将getcustomeremail方法的返回值(即用户填入的邮箱地址)传递到管理面板上。而继续我们的分析,在以下代码段中也有所发现:

Magento存在XSS漏洞,在线商城可被攻击者操控

  根据上述的代码段编写的规则,Magento可以接受两种不同的邮件格式:

1、一种较为常见,没有双引号,没有“<”符号等等; 2、另外一种,为引用字符串格式,它几乎可以接受任何可打印字符,只要输入数据的周围有两个双引号。

此刻,从理论上,我们尝试使用比如“>”@sucuri.net作为用户账号邮箱,提交一个订单,接着观察当管理员在后台管理面板上查看我们提交的订单时会发生什么情况?

上图的结果证实了我们的猜测,Magento确实存在一个XSS漏洞。

漏洞的易利用性

正如前面的POC结果展示的,如果攻击者接着利用像上述所说的带有恶意代码的邮箱地址的账户下了一个订单,当网站管理员在后台打开这个订单时,那么恶意代码将会执行。而基于攻击的原理,该漏洞其实对于任何攻击者来说都是容易掌握利用的。

比如JS代码能被用于访问cookies,所以攻击者可以通过窃取管理员的cookies,随后用于非法访问站点。当然,也可以实施其他的攻击,攻击的方式也取决于攻击者的技术能力。

WordPress站点此前也面临同样问题

从原理上来看, 该漏洞类似于Sucuri在10月份发现的存在于 Jetpack WordPress plugin的一个XSS漏洞。Jetpack WordPress plugin的XSS漏洞同样也是攻击者可以通过将恶意代码附加到邮箱地址,并通过反馈的形式发送到后台,因此导致在后台执行恶意代码。

受影响版本

目前受影响的版本包括Magento 社区版1.9.2.3及更早版本,Magento 企业版 1.14.2.3及更早版本,当前的2.x版本并未受该问题的影响。

如果还运行着Magento的老版本,网站管理员需尽快升级在线商城。


本文转自d1net(转载)

相关文章
|
安全 Linux 网络安全
渗透攻击实例-黑客大佬们都浏览哪些网站?
渗透攻击实例-黑客大佬们都浏览哪些网站?
渗透攻击实例-黑客大佬们都浏览哪些网站?
|
5月前
|
SQL 云安全 安全
常见的web漏洞,网站漏洞该怎么办
随着互联网的发展,网站安全成为企业和个人关注焦点,尤其网站漏洞可能导致数据泄露、系统崩溃等严重后果。本文介绍了四种常见网站漏洞:XSS、SQL注入、文件包含和CSRF,以及它们的危害。为解决这些问题,建议加强代码审查、输入验证、使用安全API和库、访问控制等措施。此外,德迅云安全的漏洞扫描VSS服务可在Web漏洞扫描、弱密码扫描和中间件扫描等场景中发挥作用,帮助企业及时发现并处理安全问题,保障网站安全。
|
11天前
|
安全 Windows
某县农业网被植入利用暴风影音2缓冲区溢出等漏洞的恶意代码
某县农业网被植入利用暴风影音2缓冲区溢出等漏洞的恶意代码
|
5月前
|
XML 云安全 安全
了解常见的web漏洞-XXE漏洞,日常如何做好web安全
随着网络技术的不断发展,网站安全问题日益受到人们的关注。当前随着技术发展,网站存在一些常见的可能被攻击者利用的漏洞,而在众多网站安全漏洞中,XXE(XML External Entity)漏洞是一个不容忽视的问题。今天我们就来分享了解一下关于XXE漏洞的概念、原理以及日常上有哪些可以措施可以防护网站安全。
|
Web App开发 监控 安全
阿里云盾提醒网站被WebShell木马后门分析与对策
收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了
9578 0
|
存储 安全 关系型数据库
网站安全渗透测试公司对php代码后门分析
很多想做渗透测试的朋友都想了解关于PHP后门漏洞的安全测试重点方法,以及该如何预防被中php后门,本节由我们的安全高级渗透工程师进行全面的讲解,来让大家更好的理解和了解php代码的安全检测,让网站得到最大化的安全保障,安全保障了,网站才能更长远的运行下去。
1316 0
|
安全 程序员 索引
黑客用谷歌开发人员网站发恶意软件
一位安全研究人员星期五(1月9日)称,谷歌为开发人员推出的免费的代码托管网站正在被用于发布恶意软件。 Google Code是程序员能够托管项目和代码的一个网站。McAfee Avert Labs的安全研究经理Dave Marcus说,这个网站在拥有合法的代码的同时还有一些指向虚假的视频的链接,让用户下载缺失的解码器。
846 0