黑客利用xss漏洞控制magento後台令數萬計電子商貿受影響

現今不少電子商貿網站都是使用magento來做架構的，但是這個管理系統日前被發現存在xss漏洞，容易被黑客入侵控并制後台。在magento的電子商務平台剛剛修補的漏洞里，數以萬計的電子商貿都有受到攻擊的風險。

網絡安全公司 Sucuri 日前在 Magento 發現了一個跨網站指令碼（XSS）漏洞，這個漏洞允許黑客嵌入內部客戶登記表，黑客只要在填寫電郵時可植入 JavaScript，就能輕易控制 Magento 的後台。例如填入「“>”@sucuri.net」 的話，magento的管理員進入後台便會彈出對話方塊。如果被植入惡意的 JavaScript 的話更可以控制網站，如新增系統管理員或者偷取客戶資料等，黑客完全能接管你的網站。

Xss漏洞能令網站受到巨大的威脅，受影響的版本為 1.9.2.3 版之前的 Community Edition 之前和 1.14.2.3 版之前的 Enterprise Edition，Sucuri 向 Magento 通報後已釋出更新，最新版本已修補了這個漏洞。 事實上 XSS 是典型的網站漏洞，不少大型網站如 Paypal 曾經出現過；其他內容管理系統如 WordPress 早前也有過 XSS 漏洞。 使用了上述版本的magento系統，應盡快安裝更新新的版本，使用由Sucuri或其競爭對手提供的web應用程序防火墻。