Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

PrestaShop Addon – “Data Privacy Extended (ver3.7.8) เสี่ยงต่อ CSRF

ชื่อปลั๊กอิน :ขยายความเป็นส่วนตัวของข้อมูล (กฎหมายคุ้มครองข้อมูล) – โมดูล GDPR
ชื่อช่องโหว่ :CSRF (การปลอมแปลงคำขอข้ามไซต์) ใน “ลบบัญชี”เวอร์ชัน Prestashop ที่ได้รับผลกระทบ :v1.6.0.4 – v1.7.6.0เวอร์ชันที่มีช่องโหว่ :<3.7.8เวอร์ชันแพตช์ :3.7.8รายงานช่องโหว่แล้ว :20 มิถุนายน 2019แก้ไขช่องโหว่แล้ว :25 มิถุนายน 2019 ขณะทำการตรวจสอบความปลอดภัยกับหนึ่งในไคลเอนต์ Prestashop ของเราที่ Astra ฉันพบช่องโหว่ที่สำคัญของ CSRF (Cross-Site Request Forgery) ในโมดูล PrestaShop, Data Privacy Extended (พัฒนาโดย Innovadeluxe) ปัจจุบันมีการติดตั้งที่ใช้งานอยู่มากกว่า 2,500 รายการ เนื่องจากช่องโหว่นี้ ผู้ใช้ที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถลบบัญชีของผู้ใช้ PrestaShop ที่ผ่านการตรวจสอบสิทธิ์โดยหลอกให้เปิดลิงก์ที่เป็นอันตรายบนเว็บ

ในฐานะบริษัทรักษาความปลอดภัยที่เกี่ยวข้องและมีความรับผิดชอบ แอสตร้าได้รายงานช่องโหว่ดังกล่าวให้นักพัฒนาทราบโดยไม่ชักช้า นักพัฒนาของ Innovadeluxe ตอบสนองและรวดเร็วในการดำเนินการ พวกเขาแก้ไขช่องโหว่และเผยแพร่เวอร์ชันอัปเดต 3.7.8 เมื่อวันที่ 25 มิถุนายน 2019

รายละเอียดช่องโหว่:

เป็นที่ทราบกันดีว่าโมดูลขยายความเป็นส่วนตัวของข้อมูลทำให้เว็บไซต์ PrestaShop สอดคล้องกับ GDPR มากขึ้น มีคุณสมบัติเช่นความยินยอมด้านความเป็นส่วนตัวที่จำเป็นในแบบฟอร์มการสมัครรับจดหมายข่าว แบบฟอร์มติดต่อ แบบฟอร์มลงทะเบียน ฯลฯ นอกจากนี้ยังช่วยให้ลูกค้าสามารถลบบัญชีของตนได้หากไม่มีใบแจ้งหนี้ที่เหมาะสมสำหรับการสั่งซื้อ ดังนั้น URL ของบัญชีที่ลบ/API ปลายทางมีความเสี่ยงต่อ CSRF (Cross Site Request Forgery) ซึ่งจะทำให้แฮกเกอร์หลอกผู้ใช้ที่เข้าสู่ระบบให้ลบบัญชี PrestaShop ของตนโดยไปที่ URL ที่เป็นอันตราย/เยี่ยมชมหน้าเว็บ

รายละเอียดทางเทคนิค:

นี่คือข้อพิสูจน์ของแนวคิดที่แสดงให้เห็นว่าช่องโหว่นั้นสามารถถูกเอารัดเอาเปรียบได้อย่างไร

สิ่งที่คุณสามารถทำได้:

การโจมตี CSRF นั้นน่ากลัว พวกเขาปล่อยให้ผู้โจมตีได้รับข้อมูลที่ละเอียดอ่อนของเว็บไซต์ของคุณ เช่น รายละเอียดบัตรเครดิต ฐานข้อมูลที่เป็นความลับ บัญชีผู้ดูแลระบบ ฯลฯ แต่การเตรียมพร้อมไว้ล่วงหน้าสามารถช่วยให้คุณเบี่ยงเบนความพยายามดังกล่าวในเว็บไซต์ของคุณ ต่อไปนี้คือสองสามวิธีที่คุณสามารถปกป้องเว็บไซต์ของคุณได้:

1) อัปเดตเป็นเวอร์ชันล่าสุด

นักพัฒนาปลั๊กอินได้อัปเดตและเผยแพร่เวอร์ชันแพตช์บน Prestashop หากคุณยังไม่ได้ย้ายไปยังเวอร์ชันที่อัปเดตและปลอดภัยกว่า (3.7.8) ให้อัปเดตทันที นอกจากนี้ หากคุณใช้ CMS เวอร์ชันที่ล้าสมัย ให้อัปเดตด้วย

2) ลงทุนในไฟร์วอลล์

ไฟร์วอลล์ใช้ประโยชน์จากชั้นป้องกันบนเว็บไซต์ของคุณ การลงทุนในไฟร์วอลล์ของเว็บแอปพลิเคชันที่ดีสามารถเพิ่มความปลอดภัยให้กับคุณได้ ปัญหาน้อยลง โดยทั่วไปผลตอบแทนจากการลงทุนสูง ไฟร์วอลล์ระดับพรีเมียมอย่างหนึ่งคือ Astra Firewall

มันบล็อก CSRF, SQLi, XSS, บอทที่ไม่ดี, OWASP TOP 10 และภัยคุกคามอื่น ๆ อีก 100+ รายการบนเว็บไซต์ของคุณ ไฟร์วอลล์ยังมีระบบการตรวจสอบที่ต่อเนื่องและครอบคลุมสำหรับเว็บไซต์ของคุณ

คลิกที่นี่เพื่อปกป้องเว็บไซต์ของคุณ