Webwinkels doelwit van XSS-aanvallen op helpdesk-extensie
Webwinkels die van de Magento eCommerce-software gebruikmaken zijn het doelwit van cross-site scripting (XSS) aanvallen waarbij wordt geprobeerd om malware te installeren die creditcardgegevens van klanten onderschept. De XSS-aanvallen maken gebruik van een beveiligingslek in de Mirasvit Helpdesk-extensie. De extensie zorgt voor een ticketsysteem waarmee webwinkels klantverzoeken kunnen verwerken.
De aanval op de webwinkels begint met een e-mail die bijvoorbeeld over het ontwerp van de webwinkel gaat. Het bericht bevat echter de XSS-aanval. Zodra een medewerker van de webwinkel de e-mail binnen de Helpdesk-extensie opent wordt de XSS-aanval binnen zijn browser uitgevoerd. De aanval voegt kwaadaardige code toe aan het template van de webwinkel. Deze code onderschept creditcardgegevens van klanten en stuurt die naar de aanvaller.
De Nederlandse beveiligingsonderzoeker Willem de Groot ontdekte de aanval. Hij merkt op dat de aanval vrij geraffineerd is aangezien die allerlei beveiligingsmaatregelen van de webwinkel omzeilt, zoals ip-restricties, sterke wachtwoorden, tweefactorauthenticatie en het gebruik van een vpn. De aanval vindt namelijk plaats via de browser van de medewerker die de e-mail verwerkt.
De kwetsbaarheid werd op 21 september van dit jaar ontdekt en openbaar gemaakt, gevolgd door een update van Mirasvit op 13 december. Webwinkels die met de extensie werken en update 1.5.3 nog niet hebben geïnstalleerd krijgen het advies dit zo spoedig mogelijk te doen. Mirasvit meldt dat het alle klanten gaat informeren om de update te installeren.
Slaat helemaal nergens op, wat heeft dit met PHP te maken? Tuurlijk zijn er ook beveiligingslekken in PHP maar dit is gewoon slecht codeer werk. Een XSS is gewoon te voorkomen met 1 regel code of httpd configuratie.
Slaat helemaal nergens op, wat heeft dit met PHP te maken? Tuurlijk zijn er ook beveiligingslekken in PHP maar dit is gewoon slecht codeer werk. Een XSS is gewoon te voorkomen met 1 regel code of httpd configuratie.
Heb je wel eens naar Magento gekeken? Als Magento scriptkiddie kan je PHP classes overrulen met XML instructies. Je ziet uiteindelijk echt door de bomen het bos niet meer!
hier: https://www.magereport.com/
Ook wel de interesse van de heer, Willem de G, zie.: https://github.com/gwillem
Deze random uitgezochte webshop is bij voorbeeld veilig in de meeste gevallen waar magereport op scant,
maar mogelijk weer kwetsbaar voor de zogeheten shoplift aanval.
Hun backend zit echter zo goed verstopt, dat er extra gescand moet worden.
Magenta ziet er in dit geval dus kennelijk veilig genoeg uit.
PHP en CMS coding generiek bashen is makkelijk.
De meesten, die rageren, komen aanzetten met een algemeen aangenomen vooroordeel
en scoren vervolgens gemakkelijk puntjes.
Installatie fouten en configuratie zwakheden zijn snel gemaakt en 'op die fiets' is veel meer te halen.
Een middelmatige hoster met het goedkoopste concept breekt je ook snel op.
Doe het dan zelf beter of laat het iemand het "dedicated" doen. Iemand met verstand van zaken.
Website Security Intelligence Analyse om echt iets veiliger te krijgen is een heel ander koppie thee,
dan snel een paar bashing puntjes scoren. Verdiep je er maar eens in. Leuk eindeloos onderwerp.
Mooie kleur, magenta. Serieus, je weet niet eens dat het Magento is en komt desondanks met kritiek op terechte kritiek aanzetten? Asjeblieft zeg!
Ik zeg niet, dat in handen van degenen die een op PHP gebaseerd CMS niet goed weten te configureren of alles niet afvoeren wat afgevoerd moet worden of niet voldoende patchen en updaten, men niet verkeerd bezig is. Dan kan je er inderdaad een 'rommelpotje' van maken.
In het geval van de onderhavige website was er kennelijk geen direct gevaar via een shoplift aanval/kwetsbaarheid, maar als je de W. de Groot-Mage scan in detail had bekeken, was juist voor deze kwetsbaarheid geen patch uitgerold. Er zijn dan nog andere manieren om het gevaar te keren, maar dan zit je alweer een loopgraaf verder. Hier werd melding gemaakt van een gevalletje "security through obscurity". Zeg niet dat dat een valide methode is, maar velen geloven er in en passen het nog toe ook.
Ik zeg dus niet dat bij dit Magento CMS niet voldoende mis kan gaan - met 3rd party code vooral - of als degenen, die het draaien niet weten hoe het voldoende veilig te houden is. Laten we het wel in het juiste perspectief zien. Magento CMS geef ik niet heel veel meer security grade status als Word Press en zeker in handen van n00bs niet.
Nog een fijn en veilig developer en security jaar 2018 gewenst.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.