เมื่อสองสามสัปดาห์ก่อน เรากำลังดำเนินการสแกนความปลอดภัยสำหรับลูกค้าโดยใช้ร้านค้าวีโอไอพี ขณะตรวจสอบเว็บไซต์ ทีมของเราพบช่องโหว่ที่สำคัญในโมดูล Affiliate Plus ตามเว็บไซต์ของ Affiliate Plus ร้านค้ากว่า 7000 แห่งใช้ส่วนขยายนี้ ช่องโหว่ XSS ของโมดูล Affiliate Plus Magento นี้ทำให้ร้านค้า Magento จำนวนหนึ่งมีช่องโหว่
เกี่ยวกับ Affiliate Plus Magento Module XSS
- เมื่อเข้าสู่ระบบร้านค้า Magento ของคุณในฐานะพันธมิตร ให้ไปที่ 'ส่วนโปรแกรมของฉัน'
- ในคอลัมน์ "ชื่อโปรแกรม" ให้เพิ่มโค้ด JS ต่อไปนี้:
<script>alert(/XSS_Vulnerability/)</script>
- คลิกที่ปุ่ม 'ค้นหา'
- ป๊อปอัปแนะนำการใช้งานโค้ดจาวาสคริปต์ปรากฏขึ้น
- นอกจากนี้ แม้แต่การสืบค้น SQL ก็ยังได้รับจากแอปพลิเคชันที่เปิดเผยข้อผิดพลาดของ SQL และโครงสร้างฐานข้อมูล
ผลที่ตามมา
XSS การเป็นหนึ่งในช่องโหว่ที่พบและใช้ประโยชน์อย่างกว้างขวางที่สุดนั้นมาพร้อมกับผลกระทบที่สำคัญบางประการ ในกรณีของ XSS ที่สะท้อน ผลที่ตามมามักจะมุ่งเป้าไปที่ลูกค้ารายใดรายหนึ่ง อย่างไรก็ตาม การโจมตีสามารถทำได้โดยมีจุดประสงค์เพื่อขโมยข้อมูลผู้ดูแลระบบและอื่น ๆ ประกอบด้วย:
- การประนีประนอมข้อมูลผู้ใช้ปลายทาง/ข้อมูลบัญชี
- ขโมยรายละเอียดผู้ดูแลระบบผ่านการโจมตีแบบกำหนดเป้าหมาย
- เปิดเผยโครงสร้างไดเรกทอรีภายในของเว็บแอป
ไทม์ไลน์
ทีมงาน Affiliate Plus เข้าใจปัญหาอย่างรวดเร็วและดำเนินการแก้ไขอย่างรวดเร็ว พวกเขาทำงานเชิงรุกในการปรับใช้โปรแกรมแก้ไขที่จำเป็นและเผยแพร่โมดูลเวอร์ชันที่อัปเดตพร้อมกับโปรแกรมแก้ไข ขอชื่นชมทีม!
