Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Опасные уязвимости в платформе электронной коммерции Magento " | +/– | |
Сообщение от opennews (??), 28-Мрт-19, 23:09 | ||
В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 20% (https://pagely.com/blog/top-ecommerce-platforms-2018-compared/) рынка систем для создания интернет-магазинов, выявлены (https://blog.sucuri.net/2019/03/sql-injection-in-magento-cor...) уязвимости, позволяющие выполнить код на сервере и осуществить подстановку SQL-запроса. Проблемы устранены (https://magento.com/security/patches/magento-2.3.1-2.2.8-and...) в выпусках Magento 2.1.17, 2.2.8 и 2.3.1, в которых также исправлено 30 менее опасных уязвимостей, таких как межсайтовая подделка запроса (CSRF) и межсайтовый скриптинг (XSS). | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Аноним (1), 28-Мрт-19, 23:09 | ||
1.9 подвержены? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Опасные уязвимости в платформе электронной коммерции Magento..." | –3 +/– | |
Сообщение от Ordu (ok), 28-Мрт-19, 23:17 | ||
> Наиболее опасная проблема позволяет добиться подстановки своего SQL-кода через отправку специального запроса | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 28-Мрт-19, 23:45 | ||
Попытайтесь. И удивитесь, как много странных случаев, которые в красивые ограничения не укладываются - разного рода генерация имён таблиц на лету и тому подобное. Если проект крупнее hello world - никуда не денетесь, будете время от времени собирать запрос строкой, со всеми вытекающими рисками. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
6. "Опасные уязвимости в платформе электронной коммерции Magento..." | +5 +/– | |
Сообщение от vedronim (?), 29-Мрт-19, 00:43 | ||
Динамически собирать запрос можно и в безопастном виде. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
7. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Аноним (7), 29-Мрт-19, 01:07 | ||
Нет, нельзя. В SQLite, например, нельзя создавать таблицы и триггерить прагмы используя prepared statements. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
31. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от vedronim (?), 29-Мрт-19, 09:48 | ||
> Нет, нельзя. В SQLite, например, нельзя создавать таблицы и триггерить прагмы используя | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
25. "Опасные уязвимости в платформе электронной коммерции Magento..." | –2 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:43 | ||
Два золотых правила, забывая которые, получают все эти грабли: | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
8. "Опасные уязвимости в платформе электронной коммерции Magento..." | –2 +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 01:08 | ||
> Попытайтесь. И удивитесь, как много странных случаев, которые в красивые ограничения не | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
10. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от vitalif (ok), 29-Мрт-19, 01:17 | ||
...и учить ещё один язык в дополнение к SQL. А потом ой а как написать OR? Ой а как написать постгрес специфичный оператор? Ой а как вместо таблицы подзапрос? Ой а CTE написать? | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
11. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 01:33 | ||
> ...и учить ещё один язык в дополнение к SQL. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
15. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Мрт-19, 02:58 | ||
Да блин, ормов сотоварищи написано уже море. Но используются в основном какой-нибудь джаве, где написать простыню (и ещё кусок xml впридачу) для выполнения чего-то тривиального - норма, как в том же Hibernate. И то вписанные руками SQL запросы - не то чтобы редкость. Потому что по дефолту либо с быстродействием проблемы, либо что-то требует больше динамики, чем может предоставить либа. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
16. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 04:16 | ||
> Да блин, ормов сотоварищи написано уже море. Но используются в основном какой-нибудь | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
26. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:47 | ||
Ну делал я себе такой генератор запросов ради эксперимента. Выкинул. | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
39. "Опасные уязвимости в платформе электронной коммерции Magento..." | –2 +/– | |
Сообщение от Аноним (39), 29-Мрт-19, 12:09 | ||
Не, мужики, вы опять двинулись не в ту сторону. Вместо того, чтобы мечтать о каком-то волшебном эльфийско-единорожьем языке для составления безопасных SQL-запросов, в котором заранее предусмотрено всё для корректной отработки любых, самых заковыристых ситуаций, надо всего лишь начать пороть розгами кодеров, чтобы они научились делать простую вещь: вот здесь должен быть вот такой запрос, вот в этом месте (после "obrer by") него вставляется только "price" или "rating", любой другой вариант - bad request и пнх. А универсальный инструмент, стойкий к идиотам, всё равно сделать не получится. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
52. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Мрт-19, 17:35 | ||
ну не живёт оно. Хотелки всегда растут | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
55. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Борщдрайвен бигдата (?), 29-Мрт-19, 20:29 | ||
Не надо о них мечтать. Они есть, да, с проверкой корректности в compile time, типобезопасные и прочее. Но, увы, это не о php. | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
44. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 13:25 | ||
> 2) Производительность сборки запроса выходит реально ниже плинтуса. Даже после достаточно | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
51. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Мрт-19, 17:34 | ||
Я знаю. поэтому и написал "ормов сотоварищи" | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
48. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Sw00p aka Jerom (?), 29-Мрт-19, 16:17 | ||
>Проблема решённая на 90% лучше, чем проблема решённая на 0%. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
54. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 19:28 | ||
>>Проблема решённая на 90% лучше, чем проблема решённая на 0%. | ||
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору |
13. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от freehck (ok), 29-Мрт-19, 02:00 | ||
> Я лично вообще не понимаю, как можно такие баги (возможность sql-инъекции) допускать на любом языке. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
12. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от freehck (ok), 29-Мрт-19, 01:57 | ||
> let result = query_builder() | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
22. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 05:04 | ||
>> let result = query_builder() | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
27. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:53 | ||
Ага. А теперь давай напишем | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
46. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 13:50 | ||
>[оверквотинг удален] | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
62. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от freehck (ok), 30-Мрт-19, 13:24 | ||
> Да блин, хочешь я тебе сейчас прямо здесь напидаю простейшую реализацию? | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
63. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 30-Мрт-19, 23:39 | ||
> И это, блин, всего лишь авторизация. А ты про правильные подходы к организации работы с базой. | ||
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору |
14. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Crazy Alex (ok), 29-Мрт-19, 02:22 | ||
Это у вас статически построенный запрос. Для простых случаев - так и делают, благо ормов написано - вагон. А теперь представьте, что оно генерируется динамически - надо - лишнее where добавили (или в него пару-тройку условий), надо - join докрутили, имя таблицы на лету сгенерировали, и так далее. Ну, то есть тоже можно реализовать, но получаются такие монстры, с котороыми связываться - только проблем искать. А если проще - то не выйдет всё эскейпить, оптому что там натурально не только данные подставляются, но и куски языковой конструкции генерируются. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
17. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 04:28 | ||
> Это у вас статически построенный запрос. | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
23. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 05:32 | ||
Я нашёл! https://github.com/nilportugues/php-sql-query-builder | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
29. "Опасные уязвимости в платформе электронной коммерции Magento..." | +3 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:58 | ||
Да нет, ты не ошибался. Только это не к PHP'шникам, а как раз к любителям "классических" подходов в PHP. | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
33. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от vedronim (?), 29-Мрт-19, 09:51 | ||
> Да нет, ты не ошибался. Только это не к PHP'шникам, а как | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
45. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 13:27 | ||
> Да нет, ты не ошибался. Только это не к PHP'шникам, а как | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
49. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Sw00p aka Jerom (?), 29-Мрт-19, 16:21 | ||
>Ещё раз: 40 СРАНЫХ ФАЙЛОВ и 100 СРАНЫХ КИЛОБАЙТ КОДА. Ради сборки запроса. | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
9. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Sw00p aka Jerom (?), 29-Мрт-19, 01:10 | ||
да ладно, не удивлен, после новости с циской ))))) | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
40. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от Аноним (39), 29-Мрт-19, 12:11 | ||
Зато у меня щас была кошерная - 24816 | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
24. "Опасные уязвимости в платформе электронной коммерции Magento..." | +2 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 08:38 | ||
Это вопрос элементарной аккуратности. Тут надо не тормознющие и ограниченные safe API плодить для раздолбаев, а банально вправлять руки/мозги джунам до просветления. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
43. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 13:24 | ||
> Это вопрос элементарной аккуратности. Тут надо не тормознющие и ограниченные safe API | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
28. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от конь в пальто (?), 29-Мрт-19, 08:55 | ||
тут не в php дело, а конкретно в маженте - эталонного примера некомпетентности разработчиков. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
50. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Sw00p aka Jerom (?), 29-Мрт-19, 16:24 | ||
> тут не в php дело, а конкретно в маженте - эталонного примера | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
47. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от _ (??), 29-Мрт-19, 14:46 | ||
Ну дык не истери, не плачь, не проси - а возьми И ДАЙ! Ты же типо умнее перечисленных в посте? Или такое же? 😉 | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
53. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Ordu (ok), 29-Мрт-19, 19:25 | ||
> Ну дык не истери, не плачь, не проси - а возьми И | ||
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору |
4. "Опасные уязвимости в платформе электронной коммерции Magento..." | –1 +/– | |
Сообщение от zzz (??), 28-Мрт-19, 23:55 | ||
Кто-то до сих пор пользуется этим раздутым маркетинговым буллшитом? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
36. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от tsifra (?), 29-Мрт-19, 11:29 | ||
какие альтернативы? | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
38. "Опасные уязвимости в платформе электронной коммерции Magento..." | +2 +/– | |
Сообщение от Andrey Mitrofanov (?), 29-Мрт-19, 11:47 | ||
> какие альтернативы? | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
57. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от tsifra (?), 29-Мрт-19, 23:28 | ||
Непонятно, что имелось в виду | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
59. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от tsifra (?), 29-Мрт-19, 23:45 | ||
Мне правда очень интересно. Знаком с платформой с первой версии. Недавно внедрял версию 2.3. Негатива очень много. Но проверенные мной альтернативы не смогли дать нужную гибкость. В итоге костылями и скриптами пришлось доводить magento | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
41. "Опасные уязвимости в платформе электронной коммерции Magento..." | –2 +/– | |
Сообщение от Аноним (39), 29-Мрт-19, 12:24 | ||
Ну, начни отсюда: https://en.wikipedia.org/wiki/Category:Free_e-commerce_software | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
56. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от tsifra (?), 29-Мрт-19, 23:27 | ||
Вы насколько хорошо с предметной областью знакомы? Рассчитывал получить коментарии от профи. На мой взгляд magento это никак не меньше чем фреймфорк symfony | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
58. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от пох (?), 29-Мрт-19, 23:41 | ||
> Вы насколько хорошо с предметной областью знакомы? | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
60. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от tsifra (?), 29-Мрт-19, 23:56 | ||
Я оцениваю мадженту больше как каркас с готовой веб-витриной и всеми ништяками для seo и cms, который задаёт определённые правила и даёт определённые инструменты. В отрыве от каких-то других систем(вроде odoo/самописных) она неприменима даже для мало-мальски малого бизнеса. Точнее применима, но это боль. Отсюда и сравнение с symfony | ||
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору |
61. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от пох (?), 30-Мрт-19, 09:56 | ||
механизм, да, не готовая машина. но время на сборку из шестеренок (часть из которых, традиционно, квадратные) все же экономит - хотя и ценой необходимости разобраться в уже собранном - но это все же быстрее, чем самому выпиливать надфилем. | ||
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору |
5. "Опасные уязвимости в платформе электронной коммерции Magento..." | +3 +/– | |
Сообщение от Аноним (5), 29-Мрт-19, 00:10 | ||
Стоит уточнить, что Magento это компания Adobe. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
32. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Аноним (32), 29-Мрт-19, 09:48 | ||
с этого и надо начинать было, по криворукости программеры абоба уступают только хп. ненужно. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
42. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от sin (??), 29-Мрт-19, 12:58 | ||
magento принадлежит адобу не более полугода, вряд ли они кого-то, кроме топов, успели поменять. | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
18. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Аноним (18), 29-Мрт-19, 04:50 | ||
Security module for php7 - Killing bugclasses and virtual-patching the rest! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
30. "Опасные уязвимости в платформе электронной коммерции Magento..." | +1 +/– | |
Сообщение от Онаним (?), 29-Мрт-19, 09:02 | ||
Suhosin уже был, спасибо, не надо. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
35. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от нах (?), 29-Мрт-19, 10:34 | ||
только он пищал и портил текст, и не работал. | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
19. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Аноним (18), 29-Мрт-19, 04:54 | ||
https://chaneyoon.tistory.com/253 | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
20. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Аноним (18), 29-Мрт-19, 04:55 | ||
[Tutorial]Local File Include (LFI) https://underc0de.org/foro/bugs-y-exploits/(tutorial)local-file-include-(lfi)/ | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
21. "Опасные уязвимости в платформе электронной коммерции Magento..." | +/– | |
Сообщение от Аноним (18), 29-Мрт-19, 04:57 | ||
Some common ways of upgrading from LFI to RCE | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |