magento

UGROŽENE ONLINE PRODAVNICE

16.05.2017
Bezbjednosni stručnjaci iz kompanije DefenseCode otkrili su ranjivost na platformi za e-trgovinu Magento koja napadačima dozvoljava postavljanje i pokretanje zlonamjernog koda na serverima online prodavnica. 

Neotklonjena ranjivost nalazi se u funkcionalnosti koja dohvata naslovne slike za videosadržaj objavljen na usluzi Vimeo. U slučaju kada URL fotografije pokazuje na neku drugu datoteku, naprimjer PHP skriptu, Magento će je svejedno preuzeti kako bi je ovjerio. 

Ako se ne radi o slikovnoj datoteci, pojavit će se „disallowed file type“ obavještenje, ali datoteka neće biti uklonjena sa servera.

Potencijalni napadač ovu ranjivost mogao bi da iskoristi za izvršavanje proizvoljnog programskog koda tako da najprije navede Magento na preuzimanje .htaccess konfiguracione datoteke koja omogućava pokretanje PHP skripte unutar mape za preuzimanje, a zatim preuzme zlonamjernu PHP datoteku. PHP datoteka, kada dođe do servera, djeluje kao backdoor i omogućava udaljeni pristup, što napadačima pruža mogućnost otkrivanja povjerljivih informacija. 

Stručnjaci iz kompanije DefenseCode savjetuju svim korisnicima da koriste opciju „Add Secret Key to URLs“ kako bi smanjili nivo prijetnje.



NAJNOVIJE IZ RUBRIKE

mis
Novi roboti inspirirani šišmišim
08.08.2017

Znanstvenicima s Tehnološkog instituta u Kaliforniji su pri stvaranju nove vrste robota koji može letjeti bile inspiracija akrobatske sposobnosti šišmiša, prenose mediji.

goo
Google će hitnim porukama korisnike upozoravati na terorizam, katastrofe i nesreće
03.08.2017

Kako bi do toga moglo doći bit će potrebno aktivirati funkciju lokacije mjesta na kojem se osoba nalazi.

bolid
I cure znaju zaprljati ruke:Šta rade studenti strojarstva i računarstva Sveučilišta u Mostaru?
02.08.2017

Osvojili su 20. mjesto u konkurenciji 40-ak timova. Kažu da je to veliki uspjeh jer su očekivali da će samo proći tehnički pregled.Sami su napravili trkaći automobil i učestvovali na takmičenju Formula Student.