Nieuws
image

Magento kwetsbaar voor Cross Site Scripting aanval

woensdag 27 januari 2016, 10:29 door Redactie, 2 reacties

Onderzoekers van Sucuri hebben een ernstige Cross Site Scripting kwetsbaarheid gevonden in Magento. Onder de juiste omstandigheden kan de kwetsbaarheid gebruikt worden om het administrator account over te nemen.

De kwetsbaarheid is aanwezig in Magento CE versies voor 1.9.2.3 en Magento EE versies voor 1.14.2.3. Magento heeft een CVSS score van 9.3 (Critical) toegekend aan de kwetsbaarheid.

Hoewel Cross Site Scripting kwetsbaarheden al geruime tijd bekend zijn en zowel op de OWASP als de Certified Secure checklists zijn opgenomen komen ze helaas nog veelvuldig voor.

Een Cross Site Scripting kwetsbaarheid ontstaat wanneer ontwikkelaars gebruikersinvoer niet juist encoderen voordat het wordt opgenomen in bijvoorbeeld HTML of Javascript uitvoer. In het geval van de Magento kwetsbaarheid werd het e-mailadres van gebruikers niet geëncodeerd voordat het werd weergeven in het admin paneel.

Patch

Op de site van Magento is een patch voor de kwetsbaarheid beschikbaar. Security.NL raadt alle Magento gebruikers aan om de patch zo snel mogelijk te installeren.

Ben jij een ontwikkelaar? Security.NL is benieuwd welke technieken jij gebruikt om Cross Site Scripting kwetsbaarheden te voorkomen. Laat het ons weten in een reactie!

Reacties (2)
27-01-2016, 15:07 door Anoniem
ALLE waarden die gepresenteerd worden in de front-end worden door een toHtmlEntity-functie gegooid. Daardoor krijgen < > ' en " geen 'kracht' meer. Daarnaast worden in de HTML-templates alle waarden van formuliervelden of JavaScript-values door " of ' omsloten.

Met deze combinatie wordt het een heel stuk lastiger om XSS toe te passen.
28-01-2016, 09:04 door Anoniem
Maar als je een vorm van BB code gaat samenstellen, dan is het nog geen oplossing.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search