黑客利用xss漏洞控制magento後台令數萬計電子商貿受影響
現今不少電子商貿網站都是使用magento來做架構的,但是這個管理系統日前被發現存在xss漏洞,容易被黑客入侵控并制後台。在magento的電子商務平台剛剛修補的漏洞里,數以萬計的電子商貿都有受到攻擊的風險。
網絡安全公司 Sucuri 日前在 Magento 發現了一個跨網站指令碼(XSS)漏洞,這個漏洞允許黑客嵌入內部客戶登記表,黑客只要在填寫電郵時可植入 JavaScript,就能輕易控制 Magento 的後台。例如填入「“>”@sucuri.net」 的話,magento的管理員進入後台便會彈出對話方塊。如果被植入惡意的 JavaScript 的話更可以控制網站,如新增系統管理員或者偷取客戶資料等,黑客完全能接管你的網站。
Xss漏洞能令網站受到巨大的威脅,受影響的版本為 1.9.2.3 版之前的 Community Edition 之前和 1.14.2.3 版之前的 Enterprise Edition,Sucuri 向 Magento 通報後已釋出更新,最新版本已修補了這個漏洞。 事實上 XSS 是典型的網站漏洞,不少大型網站如 Paypal 曾經出現過;其他內容管理系統如 WordPress 早前也有過 XSS 漏洞。 使用了上述版本的magento系統,應盡快安裝更新新的版本,使用由Sucuri或其競爭對手提供的web應用程序防火墻。