#SecuredMagento

FÅ GRATIS SÄKERHETSGRANSKNING OCH RÅD AV DE BÄSTA MAGENTO-UTVECKLARNA

LÅT OSS TILLSAMMANS GÖRA E-HANDEL TILL EN SÄKRARE PLATS!

Fortsätt

Rolands Jermolajevs

Tyvärr kommer ofta “security patches” i skymundan, då dessa sällan bidrar med ny funktionalitet som behövs av handlare. Dock är detta är helt fel, för när man underhåller och bygger nya funktionaliteter är det alltid god praxis att bygga detta på en redan “patchad” och uppdaterad plattform.

Martins Olekss

Det värsta som du kan göra - är att tänka på Magento-patches först när din webbplats redan blivit hackad. Dessvärre, så händer detta alltför ofta och ibland ser vi t.o.m att vissa handlare går i konkurs pga sådana intrång. Att lämna säkerhetshål på sajten som tillåter hackare att kapa kunders kreditkort under månaders tid påverkar nämligen handlares rykte.

Vjaceslavs Kreidikovs

Det är ett ganska stort tema - vissa Magento-butiksägare tycker att det är onödigt slöseri med bolagets budget eftersom butiken funkar bra, eller att de inte vill spendera ytterligare utvecklingstid/resurser på sådana småsaker. Eller så är det sist i kön, och in-house utvecklare är alltid upptagna med något mer brådskande och viktigt.

SUPEE-5344 – SHOPLIFT BUG PATCH

5,68%
drabbade sidor

Det är en specifik “remote code execution” (RCE) sårbarhet känd som “shoplift bug”, vilken tillåter hackare att erhålla Admin-tillgång till din butik. Admin-panelen är sårbar för SQL-injektion, vilken tillåter kod att sättas in i databasen och att bli verkställt där. Som resultat så kan hela butiken äventyras genom att skapa förfalskade Admin-konton och/eller installera skadeprogram på servern.'

SUPEE-5944 PATCH

17,22%
drabbade sidor

SUPEE-5994 är en samling av åtta “patches” som löser flera säkerhetsrelaterade problem.

En angripare kan tvinga inloggningssidan till Admin att uppstå genom att koppla till en modul, oavsett av URL. Detta exponerar Admin URL på sidan och gör det lättare att sätta igång attacker av lösenord

2. Möjliggör för en angripare att få fram adressinformation (namn, adress, telefon) från adressböckerna av andra butikskunder.

Angriparen kan under checkout-processen få access till en egenmäktig adressbok genom att slå in ett sekventiellt ID.

3. Detta problem möjliggör för angriparen att erhålla information kring adress (namn, adress, telefon), föregående order (varor, belopp) och betalningsmetod (metod, återkommande) från återkommande betalningsprofiler av andra butikskunder.

Angriparen skapar ett konto hos butiken. Genom att visa egen återkommande profil, så kan angriparen begära en egenmäktig återkommande profil genom att använda sekventiell ID. Informationen returneras då till angriparen.

SUPEE-6285 PATCH

6,19%
drabbade sidor

SUPEE-6285 är också en samling av patches (nio st) som löser flera säkerhetsrelaterade problem. Dessa patchar påverkar Magento-butiker vars Magento-versioner är före version 1.9 community och 1.14 enterprise.

Felaktig kontroll för auktoriserad URL leder till läckage av kundinformation (order information, order IDs, kundnamn). Detta exponerar kunds e-mail, leverans- och faktureringsadress.

Omdirigeringslänken på en tom kundvagnssida använder ej validerad användardata, vilket gör det möjligt att använda URL parametrar att injektera Javaskript-kod på hemsidan.

Sårbarhet gör det möjligt att inkludera en kunds namn när “önskelistor” skickas. Genom att manipulera kundens namn, så kan en angripare använda butiken för att sända “spoofing” eller “phishing” emails.

SUPEE-6788 PATCH

14,82%
drabbade sidor

SUPEE-6788 är också en samling av patches som läser flera säkerhetsrelaterade problem.

Felmeddelande som genereras under installation av Magento eller under en misslyckad installation av extension. Detta kan kan exponera Magento-konfigurationen samt åtkomstuppgifterna till databasen. I de flesta fall databasservern är inställd att förebygga externa kontakter. In andra situationer, informationen kan exploateras, eller användas till en annan attack.

Mallfilter till e-mail funktionalitet kan användas till att få tillgång till kundinformation som senaste ordrar eller integrationslösenord. Medan denna funktionalitet används internt på ett säkert sätt i Magento, så har vi blivit informerade om externa extensions som använde det att processa användarinnehåll som bloggkommentarer. Detta tillåter att få tillgång till skyddad information från “utsidan”.

Sårbara delar - Allvarlighet 10

5,76%
drabbade sidor

Kan du föreställa dig att få all kunddata endast genom att accessa en länk? Ja, det stämmer.

Du går bara till domän /och adderar en av de följande 4 katalogerna:

  • var/log/payment_paypaluk_express.log
  • var/log/payment_paypal_standard.log
  • var/log/payment_paypal_express.log
  • var/log/payment_paypal_direct.log

Som ett resultat (om katalogerna ej är skyddade), får du en textfil, med all information om kunden.

Vad mer behöver du? För att öppna dörren till din kunds hus?

Det mest oroväckande är antalet butiker med just denna typ av sårbarhet.

Sårbara delar - var/export/export_customers.csv

1,65%
drabbade sidor

Det är ytterligare en sårbarhetsdel som har rating 10 vad gäller sårbarhet. Det fungerar på ungefär samma sätt, men genom en länk, så får du en .csv (i grund och botten ett kalkylark) med all kunddata. T.o.m all information är sorterad och uppdelad i tabeller. Datan är densamma plus att du i tillägg får mer information om kunden.

Traditionella uppgifter som, namn, efternamn, kön, adress, faktureringsuppgifter, telefon, e-mail, företag, postnummer, password.

Dessutom, ditt samarbete med butiken exponeras. Data visar vem du är, och i vilken grupp. T.ex, användare, återförsäljare, premium, säljare etc.

Sårbara delar - index.php/rss/order/NEW/new

4,15%
drabbade sidor

Det är en sårbarhet som är allvarlig, och vi gav den rating 8 av 10 eftersom det tar ansträngning och programmeringskunskap att stjäla datan av kunderna.

Grunden till utnyttjanden kommer från att använda icke-strikt typisation i Magento.

Här är ett officiellt exempel på utnyttjande:

...
if ($order->getId()
&& $order->getIncrementId() == $data[‘increment_id’]
&& $order->getCustomerId() == $data[‘customer_id’]
...

Dessa rader gör sårbarheten möjlig. Och så klart, ett exempel på ett utnyttjande:

...
for ($i = 1; $i <= 100; $i++)
{
print “[-] Retrieving order ID $i\n”;

$data = array(‘order_id’ => $i, ‘increment_id’ => true, ‘cusomer_id’ => true);
$data = base64_encode(json_encode($data));
$_xml = http_get(“http://[HOST]/magento/index.php/rss/order/status?data={$data}”);

print parse_magento_rss_order($_xml);
}
...

Genom en simpel rad av kod, som definierar att "increment_id => TRUE" and "customer_id => TRUE" så tillåter det oss att få kunddata och ej slutför order information.

Vulnerable paths - /admin

22,26%
drabbade sidor

Any of these:

  • manage/
  • shopadmin/
  • management/
  • manager/
  • adminpanel/
  • administrator/
  • admin123/
  • admin/

make your site vulnerable.

Åtkomsten till din Magento Admin panel är ej stängd och kan nås genom länken. Det potentiellt exponerar säkerheten av din butik och data. Hackare kan försöka att “brute forca” ditt login/lösenord för att få åtkomst. Eller genom att få det genom “phishing” från andra tjänster och e-mail servrar. Inte så kul va?

Även om du är säker på att ditt lösenord är säkert nog med 18 slumpmässiga symboler, så utgör det fortfarande ett hinder eftersom serverns resurser går förlorade på att behandla dessa begäran.

Behöver du testa din lycka och riskera din affär? Tror inte det!

Sårbara delar - /downloader

15,82%
drabbade sidor

Det är något som liknar access till admin panel; dock så kan det användas till att “brute-forca” din Magento Admin lösenord och installera/köra vilken som helst kod på din server. Det tillåter dig att få åtkomst till Magento Connect-delen vilket tillåter att installera extension direkt på din Back-end.

Några enkla exempel: Hackare får tillgång till Magento downloader och installerar en extension, med deras kod inuti. Den appliceras, och du får full åtkomst till shoppen, transaktioner och vad din kod nu kan göra. Det tar lång tid tills något sådant upptäcks. Och om det inte finns någon GIT på projektet, då...ja...är du helt körd.

Sårbara delar - local.xml

2,18%
drabbade sidor

Local.xml innehåller referenser av din databas med lösenord, användarnamn, host och portar. Genom att veta alla dessa kan man helt fritt ansluta till databasen och göra vadhelst som användaren kan göra. På så sätt, om man får åtgång till admin, och i de flesta fall så får man, då kan man ta bort, kopiera, ändra och lägga till vad som helst. Ändra betalningsmetoder, och det är bara toppen av ett isberg på hur man kan använda åtkomsten till Magento-butikens databas.

Exempel av data som sparas i local.xml

...
<username>
<![CDATA[ magento_nuad ]]>
</username>
<password>
<![CDATA[ Magetent3 ]]>
</password>
<dbname>
<![CDATA[ magento_nuad ]]>
</dbname>
...

Men, om du vill göra hackarens arbete enklare, se till att inte stänga din local.xml file, och förmodligen kommer de uppskatta detta.

Sårbara delar - /magmi

9,06%
drabbade sidor

Examples of magmi paths:

  • magmi/web/magmi.php
  • magmi/conf/magmi.ini
  • magmi/

Magmi - (Magento mass importer), är ett importverktyg av produkter som finns tillgänglig i standardutförandet av Magento. Det gör den väldig kraftfull och enkel, men samtidigt också ett farligt verktyg eftersom det effektivt erbjuder full åtkomst till databasen av din Magento webshop. Genom logindetaljerna av Magmi kan man få åtkomst till hela Magento-butiken och göra vad man önskas göra.

Vi har aldrig jobbat med noll-dags såbarhet, men nyligen stod vi inför en “känd” Magmi-Magento hack. Det är ett hack av kreditkortsamling som skickar vidare alla betalningsdetaljer av betalande kunder till hackarna.

Konklusion

Med allt ovan sagt, På ett kalkylerat och utvecklat sätt vill vi uppmuntra dig och dina butikskunder att fortsätta vara kvar i säker Magento-zon.

För att få det att hända så tillhandahåller vi möjligheten att kontrollera och utföra säkerhetsgranskning för din webbsida av de bästa utvecklarna hos Scandiweb. Helt GRATIS!

Var säker på att ni tillhör de 123 780 bolag som är kundvänliga och trygga!

< Läs föregående
Läs nästa >
STÄNG DENNA?

VAR GLAD MIN VÄN. LÅT OSS PRATA!

Hur vi kan hjälpa
contact.
Server
Magento
Honung