В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), которая занимает около 20% (https://pagely.com/blog/top-ecommerce-platforms-2018-compared/) рынка систем для создания интернет-магазинов, выявлены (https://blog.ripstech.com/2019/magento-rce-via-xss/) уязвимости, комбинация которых позволяет совершить атаку для выполнения своего кода на сервере, получения полного контроля над интернет-магазином и организации перенаправления платежей. Уязвимости устранены (https://magento.com/security/patches/magento-2.3.2-2.2.9-and...) в выпусках Magento 2.3.2, 2.2.9 и 2.1.18, в которых в сумме устранено 75 проблем, связанных с безопасностью.Одна из проблем позволяет неаутентифицированному пользователю добиться размещения JavaScript-кода (XSS), который может быть выполнен при просмотре журнала отменённых покупок в интерфейсе администратора. Суть уязвимости в возможности обойти операцию чистки текста при помощи функции escapeHtmlWithLinks() при обработке примечания в форме отмены на экране начала оформления покупки (использование вложенного в другой тег тега "a href=http://onmouseover=..."). Проблема проявляется при использовании встроенного модуля Authorize.Net, при помощи которого осуществляется приём платежей по кредитным картам.
Для получения полного контроля при помощи JavaScript-кода в контексте текущего сеанса сотрудника магазана эксплуатируется вторая уязвимость, позволяющая загрузить phar-файл под видом картинки (проведение (https://www.opennet.dev/opennews/art.shtml?num=49746) атаки (https://www.opennet.dev/opennews/art.shtml?num=49641) "Phar deserialization"). Phar-файл может быть загружен через форму вставки картинок во встроенном WYSIWYG-редакторе. Добившись выполнения своего PHP-кода атакующим затем может изменить реквизиты платежей или организовать перехват информации о кредитных картах покупателей.
Интересно, что сведения о XSS-проблеме были направлены разработчикам Magento ещё в сентябре 2018 года, поле чего в конце ноября был выпущен патч, который, как оказалось, устраняет лишь один из частных случаев и легко обходится. В январе дополнительно было сообщено о возможности загрузки Phar-файла под видом изображения и показано, как сочетание двух уязвимостей может использоваться для компрометации интернет-магазинов. В конце марта в Magento 2.3.1,
2.2.8 и 2.1.17 была устранена проблема с Phar-файлами, но забыто исправление XSS, хотя тикет о проблеме был закрыт. В апреле разбор XSS возобновился и проблема была устранена в выпусках 2.3.2, 2.2.9 и 2.1.18.
Следует отметить, что в указанных выпусках также устранено 75 уязвимостей, для 16 из которых уровень опасности отмечен как критический, а 20 проблем могут привести к выполнению PHP-кода или подстановке SQL-операций. Большинство критических проблем могут быть совершены только аутентифицированным пользователем, но как показано выше, выполнения аутентифицированных операций нетрудно добиться при помощи XSS-уязвимостей, которых в отмеченных выпусках устранено несколько десятков.URL: https://blog.ripstech.com/2019/magento-rce-via-xss/
Новость: https://www.opennet.dev/opennews/art.shtml?num=51027
Нифига себе
Я думаю, ты подобрал наилучшую формулировку. Просто нечего больше добавить.
И эти люди запрещают нам использовать слово "peшeтo"!
> 20 проблем могут привести к выполнению PHP-кодаphp-шники не умеют писать код
Гы, не умеют. Больше половины рунета крутится на 1С Bitrix, написанном, вообще-то, на php. Если это не успех, то я не представляю что же.
Существует значимое количество php-ников, которые пишут небезопасный код.
Какая часть из "большей половины рунета" уязвима к какому-нибудь варианту XSS - можете посмотреть в том же источнике, где и информацию о "большей половине" взяли?
я вам страшную тайну открою, но в сам битрикс с лохматых времен встроен аналогичный фильтр, блокирующий (и фильтрующий на время вообще айпишники) попытки детишек подобрать xss или sql injection - до того как эти данные доберутся до чувствительных мест.Кстати, не так уж плохо и работает, даром что да, на php.
>...Больше половины рунета крутится на 1С Bitrix..."ниачом" Почти вся страна трахается с ОдинАсской. Это не делает её образцом качества.
блжад, ее делает образцом качества ее код!просто оставлю это здесь: https://pastebin.com/zP30fHjy
97й год, пехепе 4.0, хотя, постойте...откуда там объектная модель с компонентами?
И кроме эрафии нигде не используется, что недвусмысленно намекает на ее пригодность
скорее на то что документация написана в основном по-русски, и на стековерфлоу хрен что найдешь, в отличие от яндекса, который иногда притаскивает ссылки на всякие полезные форумы угадай-на-каком йезыке.Ну и насчет эрефии ты загнул, из десяти грошовых разработчиков-на-битриксе - девять будут с Украины, и еще один беларус.
а весь мир трахается с вротпрессом и , вот, магнетой. Не больно и жалко того мира.
> И кроме эрафии нигде не используется, что недвусмысленно намекает на ее пригодностьУкраина, Казахстан, Белоруссия - это тоже "эрафия"?
Да
> Давот и Фюрер тоже так думает.
>> Да
> вот и Фюрер тоже так думает.Это ты так Бориса Георгиевича Нуралиева назвал?
Откуда данные? Давай статистику. Вангую, что там в лидерах будет далеко не Битрикс, а какой-нибудь Wordpress.
Зато они умеют ставить минусы каментам на опеннете.
Уязвимости из-за десериализации phar это чистой воды проблма дизайна самого PHP, надо же было додуматься автоматом парсить и выполнять код из phar файлов при вызове file_exists(), fopen(), file_get_contents() и file().
>php-шники не умеют писать кодЕсли JSники макаки, то эти павианы.
php? помню был такой язык, на наших просторах наверное еще жив.
Увы, не только на наших.
Они там eval'ы фигачат что ли? Почему так много Remote Code ExecutuonSQL Injection? Они что там, про Prepared Statement не слышали?
это мажента. они там совсем долбанутые.
суровый мир php
Разработчик должен сосредоточиться на бизнес-логике!
Разработчик должен сосредоточиться на бизнес-логике!
Разработчик должен сосредоточиться на бизнес-логике!
Разработчик должен делать не правильно, а быстро!
Разработчик должен скопипастить десять раз один кусок кода!
Разработчик должен придумать бизнес-логику сам по ходу выполнения задачи!
Magento - оно такое и есть, бессмысленное и беспощадное гуано. Потому и дырявое. Слишком овердофигаинженернутое. Слишком гибкое, чтобы было понятным и удобным. Только одну вещь выполняло и выполняет: стричь бабло с энтерпрайза. А, и время разрабов жрать. Там проблема не в php, а в головах, породивших это хтоническое чудовище.
Ты сейчас описал все продукты на php.
В Magеnto все это в терминальной стадии.
как раз нет. в пхп рулит и педалит Symfony, который прекрасен.
ООП не нужен как и камостеры.
Который, о ужас, является тупо копией спринга...
судя по всему , все "специалисты" хающие пхп пишут веб на суровом перле или гламурном эрланге.
ребятки, подверните джинсики, допейте смузик и все по детсадовским группам рассказывать бизнесу как ему надо жить :)
дружище "специалист по пехепе", мы, понимаешь, совершенно незаинтересованы в том, чтобы бизнес - выжил. Это не наш бизнес.
Так-так, а где ваше резюме, говорите?..
(для занесения в блеклист, разумеется)
> Так-так, а где ваше резюме, говорите?..в нем все нормально - "мотивация", "вовлеченность", "ориентированность на командную работу". Из какого-то корпоративного кодекса, кстати, списывал ;-)
А чо, им можно врать, а мне нет?
А в той (единственной) компании где топ-менеджеры говорили "вы - исполнители, если что - просто найдете новую работу, да еще с хорошй строчкой в резюме. А нам - тонуть с этим кораблем!" - там резюме и не спрашивали.
> в нем все нормально -А потом они удивляются, что работают в таком корпоративном болоте и хейтят.
> А потом они удивляются, что работают в таком корпоративном болоте и хейтят.как ни смешно (не)корпоративное болото образовалось как раз вот в той, единственной.
Просто потому что они там гуляли на свои, тоже принципиальные были. А это в какой-то момент приводит к стагнации, хоть ты что делай. И вот сидишь ты такой, уже лысый мальчик и седые волосы в бороде уже не удается прятать, в окружении старых компьютеров и древних систем (вот именно потому что деньги не с неба понападали и их стараешься экономить) - 20, 30 лет. Оно тебе хочется? Зато вот да - на пехепе там не кодили и даже аутсорсерам запрещали, рано как и прочих откровенно-гуано технологий избегали, где смогли.А в громадных конторах, где hr'ы читают вот этот весь bullshit и не видят в такой писанине ничего странного - скучно точно не бывает. Каждый день какая-то новая пакость.