在组织电子商务的开放平台中 ,这大约需要 创建在线商店的系统市场, 漏洞,这些漏洞的组合允许您进行攻击以在服务器上执行代码,获得对在线商店的完全控制并组织支付重定向。 漏洞 Magento 版本 2.3.2、2.2.9 和 2.1.18 中总共修复了 75 个安全问题。
其中一个问题允许未经身份验证的用户实现 JavaScript (XSS) 放置,该放置可在管理界面中查看取消的购买历史记录时执行。 该漏洞的本质是在结帐屏幕上处理取消表单中的注释时(使用“a href=http://onmouseover=...”标签),能够使用 escapeHtmlWithLinks() 函数绕过文本清理操作嵌套在另一个标签中)。 当使用内置的 Authorize.Net 模块(用于接受信用卡付款)时,问题就会显现出来。
为了在商店员工当前会话的上下文中使用 JavaScript 代码获得完全控制,我们利用了第二个漏洞,该漏洞允许您以图像的形式加载 phar 文件( “Phar 反序列化”)。 Phar 文件可以通过内置 WYSIWYG 编辑器中的图像插入表单上传。 执行 PHP 代码后,攻击者就可以更改付款详细信息或拦截客户信用卡信息。
有趣的是,有关 XSS 问题的信息早在 2018 年 2.3.1 月就已发送给 Magento 开发人员,随后在 XNUMX 月底发布了补丁,事实证明,该补丁仅消除了一种特殊情况,并且很容易绕过。 一月份,还有报道称可以以图像为幌子下载 Phar 文件,并展示了如何结合使用两个漏洞来破坏在线商店。 三月底在 Magento XNUMX 中,
2.2.8 和 2.1.17 修复了 Phar 文件的问题,但忘记了 XSS 修复,尽管问题单已关闭。 2.3.2 月份,XSS 解析恢复,并在版本 2.2.9、2.1.18 和 XNUMX 中修复了该问题。
需要注意的是,这些版本还修复了 75 个漏洞,其中 16 个被评为严重漏洞,20 个问题可能导致 PHP 代码执行或 SQL 替换。 大多数关键问题只能由经过身份验证的用户来解决,但如上所示,可以使用 XSS 漏洞轻松实现经过身份验证的操作,其中数十个漏洞已在上述版本中得到修补。
来源: opennet.ru