The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В платформе электронной коммерции Magento  устране..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В платформе электронной коммерции Magento  устране..."  +/
Сообщение от opennews (?), 04-Июл-19, 11:14 
В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 20% (https://pagely.com/blog/top-ecommerce-platforms-2018-compared/) рынка систем для создания интернет-магазинов, выявлены (https://blog.ripstech.com/2019/magento-rce-via-xss/) уязвимости, комбинация которых позволяет совершить атаку для выполнения своего кода  на сервере, получения полного контроля над интернет-магазином и организации перенаправления платежей. Уязвимости устранены (https://magento.com/security/patches/magento-2.3.2-2.2.9-and...) в выпусках Magento 2.3.2, 2.2.9 и 2.1.18, в которых в сумме устранено 75 проблем, связанных с безопасностью.

Одна из проблем позволяет неаутентифицированному пользователю добиться размещения JavaScript-кода (XSS), который может быть выполнен при просмотре журнала отменённых покупок в интерфейсе администратора.  Суть уязвимости в возможности обойти операцию чистки текста при помощи функции escapeHtmlWithLinks() при обработке примечания в форме отмены на экране начала оформления покупки (использование вложенного в другой тег тега "a href=http://onmouseover=..."). Проблема проявляется при использовании встроенного модуля  Authorize.Net, при помощи которого осуществляется приём платежей по кредитным картам.

Для получения полного контроля при помощи JavaScript-кода в контексте текущего сеанса сотрудника магазана эксплуатируется вторая уязвимость, позволяющая загрузить phar-файл под видом картинки (проведение (https://www.opennet.ru/opennews/art.shtml?num=49746) атаки (https://www.opennet.ru/opennews/art.shtml?num=49641) "Phar deserialization"). Phar-файл может быть загружен через форму вставки картинок во встроенном WYSIWYG-редакторе. Добившись выполнения своего PHP-кода атакующим затем может изменить реквизиты платежей или организовать перехват информации о кредитных картах покупателей.

Интересно, что сведения о XSS-проблеме были направлены разработчикам Magento ещё в сентябре 2018 года, поле чего в конце ноября был выпущен патч, который, как оказалось, устраняет лишь один из частных случаев и легко обходится. В январе дополнительно было сообщено о возможности загрузки Phar-файла под видом изображения и показано, как сочетание двух уязвимостей может использоваться для компрометации интернет-магазинов. В конце марта в Magento 2.3.1,
2.2.8 и 2.1.17 была устранена проблема с Phar-файлами, но забыто исправление XSS, хотя тикет о проблеме был закрыт. В апреле разбор XSS возобновился и проблема была устранена в выпусках  2.3.2, 2.2.9 и 2.1.18.


Следует отметить, что в указанных выпусках также устранено 75 уязвимостей, для 16 из которых уровень опасности отмечен как критический, а 20 проблем могут привести к выполнению PHP-кода или подстановке SQL-операций. Большинство критических проблем могут быть совершены только аутентифицированным пользователем, но как показано выше, выполнения аутентифицированных операций нетрудно добиться при помощи XSS-уязвимостей, которых в отмеченных выпусках устранено несколько десятков.

URL: https://blog.ripstech.com/2019/magento-rce-via-xss/
Новость: https://www.opennet.ru/opennews/art.shtml?num=51027

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +5 +/
Сообщение от kiwinix (?), 04-Июл-19, 11:14 
Нифига себе
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +1 +/
Сообщение от Ordu (ok), 05-Июл-19, 00:13 
Я думаю, ты подобрал наилучшую формулировку. Просто нечего больше добавить.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +9 +/
Сообщение от Аноним (2), 04-Июл-19, 11:26 
И эти люди запрещают нам использовать слово "peшeтo"!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +3 +/
Сообщение от анан (?), 04-Июл-19, 11:33 
> 20 проблем могут привести к выполнению PHP-кода

php-шники не умеют писать код

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –4 +/
Сообщение от Аноним (7), 04-Июл-19, 11:58 
Гы, не умеют. Больше половины рунета крутится на 1С Bitrix, написанном, вообще-то, на php. Если это не успех, то я не представляю что же.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –2 +/
Сообщение от mickvav (?), 04-Июл-19, 12:11 
Существует значимое количество php-ников, которые пишут небезопасный код.
Какая часть из "большей половины рунета" уязвима к какому-нибудь варианту XSS - можете посмотреть в том же источнике, где и информацию о "большей половине" взяли?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от пох. (?), 05-Июл-19, 14:21 
я вам страшную тайну открою, но в сам битрикс с лохматых времен встроен аналогичный фильтр, блокирующий (и фильтрующий на время вообще айпишники) попытки детишек подобрать xss или sql injection - до того как эти данные доберутся до чувствительных мест.

Кстати, не так уж плохо и работает, даром что да, на php.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +6 +/
Сообщение от iCat (ok), 04-Июл-19, 12:16 
>...Больше половины рунета крутится на 1С Bitrix...

"ниачом" Почти вся страна трахается с ОдинАсской. Это не делает её образцом качества.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –1 +/
Сообщение от пох. (?), 04-Июл-19, 13:08 
блжад, ее делает образцом качества ее код!

просто оставлю это здесь: https://pastebin.com/zP30fHjy

97й год, пехепе 4.0, хотя, постойте...откуда там объектная модель с компонентами?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –1 +/
Сообщение от Аноним (27), 05-Июл-19, 12:06 
И кроме эрафии нигде не используется, что недвусмысленно намекает на ее пригодность
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от пох. (?), 05-Июл-19, 13:23 
скорее на то что документация написана в основном по-русски, и на стековерфлоу хрен что найдешь, в отличие от яндекса, который иногда притаскивает ссылки на всякие полезные форумы угадай-на-каком йезыке.

Ну и насчет эрефии ты загнул, из десяти грошовых разработчиков-на-битриксе - девять будут с Украины, и еще один беларус.

а весь мир трахается с вротпрессом и , вот, магнетой. Не больно и жалко того мира.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от iCat (ok), 05-Июл-19, 15:56 
> И кроме эрафии нигде не используется, что недвусмысленно намекает на ее пригодность

Украина, Казахстан, Белоруссия - это тоже "эрафия"?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от Лох (?), 05-Июл-19, 19:17 
Да
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +1 +/
Сообщение от пох. (?), 05-Июл-19, 21:28 
> Да

вот и Фюрер тоже так думает.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от iCat (ok), 09-Июл-19, 04:17 
>> Да
> вот и Фюрер тоже так думает.

Это ты так Бориса Георгиевича Нуралиева назвал?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

15. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +6 +/
Сообщение от th3m3 (ok), 04-Июл-19, 13:02 
Откуда данные? Давай статистику. Вангую, что там в лидерах будет далеко не Битрикс, а какой-нибудь Wordpress.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от YetAnotherOnanym (ok), 04-Июл-19, 12:02 
Зато они умеют ставить минусы каментам на опеннете.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от Аноним (18), 04-Июл-19, 13:43 
Уязвимости из-за десериализации phar это чистой воды проблма дизайна самого PHP, надо же было додуматься автоматом парсить и выполнять код из phar файлов при вызове file_exists(), fopen(), file_get_contents() и file().
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от Аноним (19), 04-Июл-19, 14:30 
>php-шники не умеют писать код

Если JSники макаки, то эти павианы.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –3 +/
Сообщение от Аноним (4), 04-Июл-19, 11:40 
php? помню был такой язык, на наших просторах наверное еще жив.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от freehckemail (ok), 04-Июл-19, 12:03 
Увы, не только на наших.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +3 +/
Сообщение от Аноним (5), 04-Июл-19, 11:43 
Они там eval'ы фигачат что ли? Почему так много Remote Code Executuon

SQL Injection? Они что там, про Prepared Statement не слышали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от конь в пальто (?), 04-Июл-19, 21:53 
это мажента. они там совсем долбанутые.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от жека воробьев (?), 04-Июл-19, 11:44 
суровый мир php
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +2 +/
Сообщение от YetAnotherOnanym (ok), 04-Июл-19, 12:01 
Разработчик должен сосредоточиться на бизнес-логике!
Разработчик должен сосредоточиться на бизнес-логике!
Разработчик должен сосредоточиться на бизнес-логике!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +13 +/
Сообщение от freehckemail (ok), 04-Июл-19, 12:05 
Разработчик должен делать не правильно, а быстро!
Разработчик должен скопипастить десять раз один кусок кода!
Разработчик должен придумать бизнес-логику сам по ходу выполнения задачи!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +7 +/
Сообщение от Приебалт (?), 04-Июл-19, 12:43 
Magento - оно такое и есть, бессмысленное и беспощадное гуано. Потому и дырявое. Слишком овердофигаинженернутое. Слишком гибкое, чтобы было понятным и удобным. Только одну вещь выполняло и выполняет: стричь бабло с энтерпрайза. А, и время разрабов жрать. Там проблема не в php, а в головах, породивших это хтоническое чудовище.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –1 +/
Сообщение от th3m3 (ok), 04-Июл-19, 13:04 
Ты сейчас описал все продукты на php.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

20. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от Yahenemail (?), 04-Июл-19, 15:23 
В Magеnto все это в терминальной стадии.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +1 +/
Сообщение от конь в пальто (?), 04-Июл-19, 21:55 
как раз нет. в пхп рулит и педалит Symfony, который прекрасен.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

24. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +1 +/
Сообщение от Аноним (24), 05-Июл-19, 00:28 
ООП не нужен как и камостеры.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

39. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от talisman (?), 07-Июл-19, 04:25 
Который, о ужас, является тупо копией спринга...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от DIO (?), 05-Июл-19, 09:04 
судя по всему , все "специалисты" хающие пхп пишут веб на суровом перле или гламурном эрланге.
ребятки, подверните джинсики, допейте смузик и все по детсадовским группам рассказывать бизнесу как ему надо жить :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –1 +/
Сообщение от пох. (?), 05-Июл-19, 10:34 
дружище "специалист по пехепе", мы, понимаешь, совершенно незаинтересованы в том, чтобы бизнес - выжил. Это не наш бизнес.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

31. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от Наноним (?), 05-Июл-19, 18:29 
Так-так, а где ваше резюме, говорите?..
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от Наноним (?), 05-Июл-19, 18:30 
(для занесения в блеклист, разумеется)
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –1 +/
Сообщение от пох. (?), 05-Июл-19, 20:08 
> Так-так, а где ваше резюме, говорите?..

в нем все нормально - "мотивация", "вовлеченность", "ориентированность на командную работу". Из какого-то корпоративного кодекса, кстати, списывал ;-)

А чо, им можно врать, а мне нет?

А в той (единственной) компании где топ-менеджеры говорили "вы - исполнители, если что - просто найдете новую работу, да еще с хорошй строчкой в резюме. А нам - тонуть с этим кораблем!" - там резюме и не спрашивали.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "В платформе электронной коммерции Magento  устранено 75 уязв..."  +/
Сообщение от Аноним (37), 06-Июл-19, 03:53 
> в нем все нормально -

А потом они удивляются, что работают в таком корпоративном болоте и хейтят.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "В платформе электронной коммерции Magento  устранено 75 уязв..."  –1 +/
Сообщение от пох. (?), 06-Июл-19, 09:04 
> А потом они удивляются, что работают в таком корпоративном болоте и хейтят.

как ни смешно (не)корпоративное болото образовалось как раз вот в той, единственной.
Просто потому что они там гуляли на свои, тоже принципиальные были. А это в какой-то момент приводит к стагнации, хоть ты что делай. И вот сидишь ты такой, уже лысый мальчик и седые волосы в бороде уже не удается прятать, в окружении старых компьютеров и древних систем (вот именно потому что деньги не с неба понападали и их стараешься экономить) - 20, 30 лет. Оно тебе хочется? Зато вот да - на пехепе там не кодили и даже аутсорсерам запрещали, рано как и прочих откровенно-гуано технологий избегали, где смогли.

А в громадных конторах, где hr'ы читают вот этот весь bullshit и не видят в такой писанине ничего странного - скучно точно не бывает. Каждый день какая-то новая пакость.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру