开发者社区> 行者武松> 正文

Magento存在XSS漏洞,在线商城可被攻击者操控

简介:
+关注继续查看

Magento是一套开源的电子商务系统,是主要面向企业的应用,可处理电子商务各方面的需求,包括像购物、航运、产品评论等等,最终为建设一个多用途和适用面广的电子商务网站提供帮助。

Magento存在XSS漏洞,在线商城可被攻击者操控

  Magento项目小组目前已经发布补丁,修复Magento上一个高危的安全漏洞。

漏洞信息

这个漏洞是一个存储型XSS,是安全厂商Sucuri于2015年11月10日发现的,可实施攻击的场景为:当用户注册一个新账户时或者当用户更改当前账户的邮件地址时等涉及到邮箱账号提交的场景。

该问题关键在于CMS(内容管理系统)如何过滤在用户侧输入的包含邮件地址信息的数据。据Sucuri的研究发现,Magento并没有有效地对邮件地址中可能存在的恶意字符进行过滤。

这种不安全的数据过滤机制能够让攻击者在输入电子邮箱的同时附加上恶意代码。

漏洞分析

这个问题存在于Magento中的app/design/adminhtml/default/default/template/sales/order/view/info.phtml

Magento存在XSS漏洞,在线商城可被攻击者操控

正如从上面的代码段中看到的,template会将getcustomeremail方法的返回值(即用户填入的邮箱地址)传递到管理面板上。而继续我们的分析,在以下代码段中也有所发现:

Magento存在XSS漏洞,在线商城可被攻击者操控

  根据上述的代码段编写的规则,Magento可以接受两种不同的邮件格式:

1、一种较为常见,没有双引号,没有“<”符号等等; 2、另外一种,为引用字符串格式,它几乎可以接受任何可打印字符,只要输入数据的周围有两个双引号。

此刻,从理论上,我们尝试使用比如“>”@sucuri.net作为用户账号邮箱,提交一个订单,接着观察当管理员在后台管理面板上查看我们提交的订单时会发生什么情况?

上图的结果证实了我们的猜测,Magento确实存在一个XSS漏洞。

漏洞的易利用性

正如前面的POC结果展示的,如果攻击者接着利用像上述所说的带有恶意代码的邮箱地址的账户下了一个订单,当网站管理员在后台打开这个订单时,那么恶意代码将会执行。而基于攻击的原理,该漏洞其实对于任何攻击者来说都是容易掌握利用的。

比如JS代码能被用于访问cookies,所以攻击者可以通过窃取管理员的cookies,随后用于非法访问站点。当然,也可以实施其他的攻击,攻击的方式也取决于攻击者的技术能力。

WordPress站点此前也面临同样问题

从原理上来看, 该漏洞类似于Sucuri在10月份发现的存在于 Jetpack WordPress plugin的一个XSS漏洞。Jetpack WordPress plugin的XSS漏洞同样也是攻击者可以通过将恶意代码附加到邮箱地址,并通过反馈的形式发送到后台,因此导致在后台执行恶意代码。

受影响版本

目前受影响的版本包括Magento 社区版1.9.2.3及更早版本,Magento 企业版 1.14.2.3及更早版本,当前的2.x版本并未受该问题的影响。

如果还运行着Magento的老版本,网站管理员需尽快升级在线商城。


本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用 burpsuite 进行自动化测试 XSS 漏洞
使用 burpsuite 进行自动化测试 XSS 漏洞
30 0
14 向日葵远程RCE漏洞
向日葵是一款远控软件
307 0
如何对ecshop网站漏洞进行修复防止被入侵
ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站的漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数,来对网站数据库进行攻击。
234 0
如何修补网站漏洞之metinfo远程SQL注入漏洞
2018年11月23日SINE网站安全检测平台,检测到MetInfo最新版本爆出高危漏洞,危害性较大,影响目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,该网站漏洞产生的主要原因是MetInfo的上传代码里的参数值没有进行安全过滤,导致上传路径这里进行伪造路径,并可以插入恶意的代码,以及特殊字符进行上传图片到MetInfo的后台。
106 0
渗透测试服务之对浏览器开展攻击
这一阶段,就是利用对浏览器的控制,根据当前形势,探寻攻击的可能性。这种攻击有多种形式,包括对浏览器的“本地”攻击,对浏览器所在操作系统的攻击,以及对任意位置远程系统的攻击。仔细阅读,你就会发现,在这个阶段的方法中,绕开了同源策略,走在了前列。为什么会这样?由于这种方法在攻击的每一个步骤中都可以使用,因此它是在其他攻击阶段必须绕过和使用的安全措施。另外一种更明显的情况是,攻击方法中心位置的循环箭头。倒不如说一定会循环进行,重要的是其中一环成功攻击,很可能成为另一环成功攻击的先兆。在这种情况下,这一阶段应该经常权衡利弊,选择哪种方法最有效,哪种方法回报最好。
76 0
ecshop 全系列版本通杀漏洞 远程代码执行sql注入漏洞
ecshop漏洞于2018年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是利用远程代码执行sql注入语句漏洞,导致可以插入sql查询代码以及写入代码到网站服务器里,严重的可以直接获取服务器的管理员权限,甚至有些网站使用的是虚拟主机,可以直接获取网站ftp的权限,该漏洞POC已公开,使用简单,目前很多商城网站都被攻击,危害较大,针对于此我们SINE安全对该ECSHOP漏洞的详情以及如何修复网站的漏洞,及如何部署网站安全等方面进行详细的解读。
270 0
一般网站有哪些常见漏洞?
一般网站有哪些常见漏洞?
1317 0
+关注
行者武松
杀人者,打虎武松也。
文章
问答
视频
文章排行榜
最热
最新
相关电子书
更多
代码未写,漏洞已出
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
相关实验场景
更多