Tin An Ninh Mạng

Magento chứa lỗ hổng cho phép attacker tạo tài khoản admin.

1489939945hacker-silhouette.jpg
Magento được biết đến là một framework phục vụ cho việc xây dựng website thương mại điện tử khá chuyên nghiệp.

{

}

1490892998Magento.jpg

Khi thị trường thương mại điện tử phát triển cũng là cơ hội cho các hacker kiếm lợi qua việc hack tài khoản người mua bán trên các website thương mại điện tử.
Gần đây các nhà nghiên cứu an ninh tại Securatary đã thông báo một lỗ hổng cross-store trong nền tảng Magento cho phép kẻ tấn công leo thang đặc quyền bằng cách tạo ra một tài khoản quản trị bất kỳ trên hàng trực tuyến ‘Gostorego’.
Lỗ hổng cho phép vượt qua xác thực và 200.000 dữ liệu chữa lỗ hổng này bị tin tặc đánh cắp trước khi nó được vá. Để khai thác lỗ hổng này, kẻ tấn công chỉ cần thay đổi tiêu đề HOST URI của tài khoản mục tiêu trong yêu cầu GET.

1490892998exploit.png

Họ gọi nó là “Stealth mode” cho phép attacker lấy cắp thẻ tín dụng và phiếu giảm giá quà tặng, thay đổi giá sản phẩm hoặc nhiều thay đổi khác trên hơn 20.000 của hàng online.
Để chứng minh lỗ hổng này các nhà nghiên cứu bảo mật đã sử dụng Burp Suite, có thể dễ dàng cho phép kẻ tấn công năm được yêu cầu đăng nhập và thay đổi các mục, tiêu đề và tất cả các phương tiện tạo tài khoản người dung mới….
Công ty bảo mật đã thông báo lỗ hổng bảo mật này cho Ebay và các của hàng online xây dựng trên nền tảng Magento để họ update bản vá.

Nguồn tham khảo: thehacker news.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !