The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в платформе электронной коммерции Magento "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в платформе электронной коммерции Magento "  +/
Сообщение от opennews (ok) on 26-Янв-16, 11:51 
В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 30% рынка платформ для создания интернет-магазинов (на базе Magento работает более 250 тысяч сайтов), выявлено (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) 20 уязвимостей (https://magento.com/security/patches/supee-7405). Проблемы уже устранены (https://magento.com/security/patches/magento-201-security-up...) в выпусках Magento  1.9.2.3, 1.14.2.3 и 2.0.1.


Две XSS-проблемы помечены как критические. Первая проблема позволяет (https://blog.sucuri.net/2016/01/security-advisory-stored-xss...) при просмотре администратором параметров заказа отобразить произвольный JavaScript-код, добавленный через форму регистрации путём задания специально оформленного значения в поле с email (например, можно указать  "><script>alert(1);</script>"@mail.ru). Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса и получить полный доступ к системе. Вторая проблема даёт возможность подставить JavaScript-код в примечание к заказу при использовании модуля PayFlow Pro, впоследствии данный код будет выполнен при просмотре администратором списка заказов.

<center><a href="https://blog.sucuri.net/wp-content/uploads/2016/01/Magento-S... src="https://www.opennet.dev/opennews/pics_base/0_1453792900.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>


URL: https://blog.sucuri.net/2016/01/security-advisory-stored-xss...
Новость: http://www.opennet.dev/opennews/art.shtml?num=43759

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Уязвимости в платформе электронной коммерции Magento "  +2 +/
Сообщение от Филимон Озадаченный on 26-Янв-16, 13:44 
>>Выполнив код в контексте интерфейса администратора атакующий может перехватить cookie с идентификатором сеанса

Не по холиварить, просто интересно: из каких соображений эти куки не http only ? И почему админские сессии не привязываются к IP ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Уязвимости в платформе электронной коммерции Magento "  +2 +/
Сообщение от Онотоле (ok) on 26-Янв-16, 15:08 
Потому что разработчики были так заняты темплейтами на XML, что совсем забыли что у них могут быть какие то там XSS и сессии.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Уязвимости в платформе электронной коммерции Magento "  +1 +/
Сообщение от Анончег on 26-Янв-16, 21:58 
Онотоле голова, рубит прямо в корень проблемы.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Уязвимости в платформе электронной коммерции Magento "  +1 +/
Сообщение от Crazy Alex (ok) on 26-Янв-16, 15:41 
По-моему гораздо более интересный вопрос - как в здоровенной, распространённой и много лет существующей получилось, что что-то может быть введено без фильтрации и выведено без экранирования? По идее, такие вещи должны на полном автомате каким-то слоем реализовываться.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Уязвимости в платформе электронной коммерции Magento "  –2 +/
Сообщение от Аноним (??) on 26-Янв-16, 17:22 
Справедливости ради - тот факт, что разрабам приходится тратить своё время и следить за всей это хернёй является прямым недостатком html и отличным аргументом в пользу его замены на что-то более прогрессивное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимости в платформе электронной коммерции Magento "  –1 +/
Сообщение от клоун on 26-Янв-16, 18:06 
HTML язык разметки, а не програмиирования. Попытки использования инструмента не по назначению ничем хорошим обычно не заканчиваются. И список web-технологий, только названия которых уже занимают больше А4 мелким шрифтом это подтверждает.

С решением согласен: если уж хочется динамического web-программирования, нужно создавать среду для этого. И лучше чтобы это было не WWW и не HTTP. Пусть это будет JWS (Java Web Script) и JTTP и открываться будет что-то типа jws://jttp.site.ru

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Уязвимости в платформе электронной коммерции Magento "  +1 +/
Сообщение от lol (??) on 26-Янв-16, 18:48 
ну и сидите вдвоем на своем JWS/JTTP, фанатики.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Уязвимости в платформе электронной коммерции Magento "  –2 +/
Сообщение от тоже Аноним (ok) on 27-Янв-16, 01:05 
Если оно реально будет работать и реально будет обещать профит - все может оказаться не так незыблемо, как кажется.
Браузеров сейчас немного, и они постоянно ищут, чем бы выдвинуться (даже мелкомягкий), так что новый протокол вполне могут внедрить - сначала экспериментально, потом уверенно.
Сервер по юзер-агенту определит, что браузер уже современный, сделает редирект с http: на jws: - и армия пользователей начнет расти сама собой, без всякого активного участия с их стороны...
Сначала крупные порталы, для которых и процент пользователей - это масса, потом интранеты подхватят, банки-платежные системы, а там и в широкий мир пойдет.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Уязвимости в платформе электронной коммерции Magento "  +/
Сообщение от Crazy Alex (ok) on 27-Янв-16, 06:24 
Учитывая, что WebAssembly уже на взлёте, и что это совместный проект мозиллы, гугла и майкрософта - ни у каких JWS/JTTP шансов вообще никаких, что весьма радует, так как избавляет от привязки к "единственно правильной" среде. А про вторую часть можно забыть уже сейчас - с транспортом никаких проблем нет, уже перелопатили, введя HTTP/2 и перед этим WebSockets - оба вполне приличны.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Уязвимости в платформе электронной коммерции Magento "  +1 +/
Сообщение от Онотоле (ok) on 27-Янв-16, 11:09 
Оу, представляю сколько малварей появится...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру