Sethaleng se bulehileng sa ho hlophisa khoebo ea e-commerce
Khatiso e le 'ngoe e lumella mosebelisi ea sa netefatsoang ho fihlella sebaka sa JavaScript (XSS) se ka sebelisoang ha u sheba nalane ea theko e hlakotsoeng ho interface ea admin. Taba ea bofokoli ke bokhoni ba ho tlola tšebetso ea ho hloekisa mongolo u sebelisa ts'ebetso ea escapeHtmlWithLinks() ha o sebetsana le molaetsa ka foromo ea ho hlakola skrineng sa ho tsoa (o sebelisa "a href=http://onmouseover=..." tag. sehlaha ka hara tag enngwe). Bothata bo iponahatsa ha u sebelisa mojule oa Authorize.Net o hahiloeng kahare, o sebelisetsoang ho amohela litefo tsa karete ea mokoloto.
Ho fumana taolo e felletseng ka ho sebelisa khoutu ea JavaScript molemong oa seboka sa hajoale sa mosebeletsi oa lebenkele, ho sebelisoa ts'oaetso ea bobeli, e u lumellang ho kenya faele ea phar tlas'a setšoantšo sa setšoantšo (
Hoa thahasellisa hore tlhahisoleseding e mabapi le bothata ba XSS e rometsoe ho baetsi ba Magento morao koana ka September 2018, ka mor'a moo patch e ile ea lokolloa qetellong ea November, eo, ha e le hantle, e felisang e le 'ngoe feela ea linyeoe tse khethehileng' me e kheloha habonolo. Ka Pherekhong, ho ile ha tlalehoa hape ka monyetla oa ho khoasolla faele ea Phar tlas'a sets'oants'o mme ea bonts'a hore na ho kopana ha bofokoli ba babeli ho ka sebelisoa joang ho sekisetsa mabenkele a marang-rang. Qetellong ea Hlakubele ho Magento 2.3.1,
2.2.8 le 2.1.17 li ile tsa lokisa bothata ka lifaele tsa Phar, empa li lebetse tokiso ea XSS, leha tekete ea khatiso e ne e koetsoe. Ka Mmesa, tlhahlobo ea XSS e ile ea tsoela pele 'me bothata bo ile ba lokisoa ho likhatiso tsa 2.3.2, 2.2.9, le 2.1.18.
Hoa lokela ho hlokomeloa hore litokollo tsena li boetse li lokisa bofokoli ba 75, tse 16 tsa tsona li nkoa e le tsa bohlokoa, 'me litaba tse 20 li ka lebisa ho ts'ebetsong ea khoutu ea PHP kapa ho nkeloa sebaka ke SQL. Mathata a mangata a bohlokoa a ka etsoa feela ke mosebelisi ea netefalitsoeng, empa joalo ka ha ho bonts'itsoe kaholimo, ts'ebetso e netefalitsoeng e ka fihlelleha habonolo ho sebelisoa bofokoli ba XSS, boo palo ea bona e 'maloa e kentsoeng likhatisong tse boletsoeng.
Source: opennet.ru