magento

UGROŽENE ONLINE PRODAVNICE

16.05.2017
Bezbjednosni stručnjaci iz kompanije DefenseCode otkrili su ranjivost na platformi za e-trgovinu Magento koja napadačima dozvoljava postavljanje i pokretanje zlonamjernog koda na serverima online prodavnica. 

Neotklonjena ranjivost nalazi se u funkcionalnosti koja dohvata naslovne slike za videosadržaj objavljen na usluzi Vimeo. U slučaju kada URL fotografije pokazuje na neku drugu datoteku, naprimjer PHP skriptu, Magento će je svejedno preuzeti kako bi je ovjerio. 

Ako se ne radi o slikovnoj datoteci, pojavit će se „disallowed file type“ obavještenje, ali datoteka neće biti uklonjena sa servera.

Potencijalni napadač ovu ranjivost mogao bi da iskoristi za izvršavanje proizvoljnog programskog koda tako da najprije navede Magento na preuzimanje .htaccess konfiguracione datoteke koja omogućava pokretanje PHP skripte unutar mape za preuzimanje, a zatim preuzme zlonamjernu PHP datoteku. PHP datoteka, kada dođe do servera, djeluje kao backdoor i omogućava udaljeni pristup, što napadačima pruža mogućnost otkrivanja povjerljivih informacija. 

Stručnjaci iz kompanije DefenseCode savjetuju svim korisnicima da koriste opciju „Add Secret Key to URLs“ kako bi smanjili nivo prijetnje.



NAJNOVIJE IZ RUBRIKE

pap
Ljuta paprika za dugovječnost
19.05.2017

Istraživanje provedeno u Kini povezuje gotovo svakodnevnu konzumaciju hrane začinjene ljutom paprikom s 14%-tnim smanjenjem stope smrtnosti.

lam
Luksuzni SUV, Lamborghini Urus, na scenu dolazi iduće godine.
18.05.2017

Lamborghinijev šef Stefano Domenicali je za Automotive News potvrdio kako će Urusov V8 twinturbo razvijati 650 KS.

facebook
FACEBOOK UKINUO 30.000 LAŽNIH PROFILA
17.05.2017

To je do sada najagresivniji potez Facebooka prema profilima koji predstavljaju kršenje odredbi korištenja.