文档章节

Magento存在XSS漏洞,在线商城可被攻击者操控

小猪猪的风
 小猪猪的风
发布于 2016/01/28 16:12
字数 930
阅读 266
收藏 2

Magento是一套开源的电子商务系统,是主要面向企业的应用,可处理电子商务各方面的需求,包括像购物、航运、产品评论等等,最终为建设一个多用途和适用面广的电子商务网站提供帮助。

Magento存在XSS漏洞,在线商城可被攻击者操控

Magento项目小组目前已经发布补丁,修复Magento上一个高危的安全漏洞。

漏洞信息

这个漏洞是一个存储型XSS,是安全厂商Sucuri于2015年11月10日发现的,可实施攻击的场景为:当用户注册一个新账户时或者当用户更改当前账户的邮件地址时等涉及到邮箱账号提交的场景。

该问题关键在于CMS(内容管理系统)如何过滤在用户侧输入的包含邮件地址信息的数据。据Sucuri的研究发现,Magento并没有有效地对邮件地址中可能存在的恶意字符进行过滤。

这种不安全的数据过滤机制能够让攻击者在输入电子邮箱的同时附加上恶意代码。

漏洞分析

这个问题存在于Magento中的app/design/adminhtml/default/default/template/sales/order/view/info.phtml

Magento存在XSS漏洞,在线商城可被攻击者操控

正如从上面的代码段中看到的,template会将getcustomeremail方法的返回值(即用户填入的邮箱地址)传递到管理面板上。而继续我们的分析,在以下代码段中也有所发现:

Magento存在XSS漏洞,在线商城可被攻击者操控

根据上述的代码段编写的规则,Magento可以接受两种不同的邮件格式:

1、一种较为常见,没有双引号,没有“<”符号等等; 2、另外一种,为引用字符串格式,它几乎可以接受任何可打印字符,只要输入数据的周围有两个双引号。

此刻,从理论上,我们尝试使用比如“>”@sucuri.net作为用户账号邮箱,提交一个订单,接着观察当管理员在后台管理面板上查看我们提交的订单时会发生什么情况?

上图的结果证实了我们的猜测,Magento确实存在一个XSS漏洞。

漏洞的易利用性

正如前面的POC结果展示的,如果攻击者接着利用像上述所说的带有恶意代码的邮箱地址的账户下了一个订单,当网站管理员在后台打开这个订单时,那么恶意代码将会执行。而基于攻击的原理,该漏洞其实对于任何攻击者来说都是容易掌握利用的。

比如JS代码能被用于访问cookies,所以攻击者可以通过窃取管理员的cookies,随后用于非法访问站点。当然,也可以实施其他的攻击,攻击的方式也取决于攻击者的技术能力。

WordPress站点此前也面临同样问题

从原理上来看, 该漏洞类似于Sucuri在10月份发现的存在于 Jetpack WordPress plugin的一个XSS漏洞。Jetpack WordPress plugin的XSS漏洞同样也是攻击者可以通过将恶意代码附加到邮箱地址,并通过反馈的形式发送到后台,因此导致在后台执行恶意代码。

受影响版本

目前受影响的版本包括Magento 社区版1.9.2.3及更早版本,Magento 企业版 1.14.2.3及更早版本,当前的2.x版本并未受该问题的影响。

如果还运行着Magento的老版本,网站管理员需尽快升级在线商城。


本文转载自:

小猪猪的风
粉丝 14
博文 360
码字总数 60296
作品 0
厦门
私信 提问
了解跨站脚本攻击

跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上...

adson_sunflower
2017/02/14
0
0
WordPress 4.5.2 安全更新

WordPress 紧急释出了安全更新 WordPress 4.5.2。该安全更新修复了 WordPress 4.5.1 以及早期版本中存在一些可被利用发起攻击的漏洞。如此同时,还需要关心一下 ImageMagick 的安全问题。 主...

oschina
2016/05/07
1K
2
解决网站漏洞如何修复对短信验证码被盗刷 该怎么办

公司的商城网站刚上线运营不到一个星期,网站就被攻击了,导致公司网站的短信通道被人恶意刷了几万条短信,损失较大,同时服务器也遭受到了前所未有的攻击。CPU监控看到网站在被盗刷短信验证...

网站安全
2018/11/27
0
0
如何修复网站XSS漏洞 过滤script等攻击参数来解决

很多公司的网站维护者都会问,到底什么XSS跨站漏洞?简单来说XSS,也叫跨站漏洞,攻击者对网站代码进行攻击检测,对前端输入的地方注入了XSS攻击代码,并写入到网站中,使用户访问该网站的时...

网站安全
08/03
0
0
请求伪造漏洞

转载:四叶草-CISP-PTE 服务器端请求伪造;是一种由攻击 者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻 击的目标是从外网无法访问的内部系统(正是因为它是由服务端发起 的,...

Alyoyojie
2018/01/25
0
0

没有更多内容

加载失败,请刷新页面

加载更多

BootStrap

一、BootStrap 简洁、直观、强悍的前端开发框架,让web开发更加迅速、简单 中文镜像网站:http://www.bootcss.com 用于开发响应式布局、移动设备优先的WEB项目 1、使用boot 创建文件夹,在文...

wytao1995
22分钟前
4
0
小知识:讲述Linux命令别名与资源文件的区别

别名 别名是命令的快捷方式。为那些需要经常执行,但需要很长时间输入的长命令创建快捷方式很有用。语法是: alias ppp='ping www.baidu.com' 它们并不总是用来缩短长命令。重要的是,你将它...

老孟的Linux私房菜
今天
4
0
《JAVA核心知识》学习笔记(6. Spring 原理)-5

它是一个全面的、企业应用开发一站式的解决方案,贯穿表现层、业务层、持久层。但是 Spring 仍然可以和其他的框架无缝整合。 6.1.1. Spring 特点 6.1.1.1. 轻量级 6.1.1.2. 控制反转 6.1.1....

Shingfi
今天
5
0
Excel导入数据库数据+Excel导入网页数据【实时追踪】

1.Excel导入数据库数据:数据选项卡------>导入数据 2.Excel导入网页数据【实时追踪】:

东方墨天
今天
5
1
正则表达式如何匹配一个单词存在一次或零次并且不占捕获组位置

正则表达式如何匹配一个单词存在一次或零次并且不占捕获组位置 今天要用正则表达式实现匹配一个词出现一次或者不出现的情况,但是又不仅仅是这么简单的需求。先详细说下我这种情况吧,也许有...

Airship
今天
8
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部