久久精品中文字幕,狠狠色丁香婷婷综合,精品国产制服丝袜高跟,国内精品久久久久久久久齐齐 ,国模冰莲极品自慰人体

灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: 關(guān)鍵的magento-sql注入漏洞很快就會(huì)被黑客攻擊 [打印本頁(yè)]
作者: admin    時(shí)間: 2019-3-30 10:56
標(biāo)題: 關(guān)鍵的magento-sql注入漏洞很快就會(huì)被黑客攻擊
流行的電子商務(wù)平臺(tái)Magento發(fā)布了安全補(bǔ)丁來(lái)修復(fù)該漏洞。研究人員說現(xiàn)在更新。
(, 下載次數(shù): 952)
數(shù)千家在線商店使用的Magento內(nèi)容管理系統(tǒng)已收到對(duì)幾個(gè)嚴(yán)重漏洞的修復(fù),包括一個(gè)未經(jīng)驗(yàn)證的SQL注入漏洞,該漏洞可能很快成為攻擊者的目標(biāo)。
自2018年起,Adobe旗下公司Magento發(fā)布了37個(gè)安全問題的安全補(bǔ)丁,這些安全問題影響到了其平臺(tái)的商業(yè)版本和開源版本。利用這些缺陷可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行、SQL注入、跨站點(diǎn)腳本、權(quán)限提升、信息公開和垃圾郵件發(fā)送。
四個(gè)漏洞在通用漏洞評(píng)分系統(tǒng)(CVSS)中的得分高于9,這意味著它們是關(guān)鍵的。其中一個(gè)SQL注入缺陷是研究人員特別關(guān)注的問題,因?yàn)樗梢栽跊]有身份驗(yàn)證的情況下被利用!本W(wǎng)站安全公司Sucuri的研究人員在一篇博客文章中說:“SQL漏洞很容易被利用,我們鼓勵(lì)每個(gè)magento網(wǎng)站的所有者更新這些最近修補(bǔ)的版本,以保護(hù)他們的電子商務(wù)網(wǎng)站。”
研究人員已經(jīng)對(duì)補(bǔ)丁進(jìn)行了逆向工程,并為內(nèi)部測(cè)試創(chuàng)建了一個(gè)有效的概念驗(yàn)證工具。他們還沒有公開發(fā)布它,但很可能攻擊者很快就會(huì)發(fā)現(xiàn)如何利用這個(gè)漏洞。
一個(gè)廣受歡迎的黑客目標(biāo)
由于其受歡迎程度和處理的敏感客戶數(shù)據(jù),Magento平臺(tái)是黑客的一個(gè)吸引人的目標(biāo),并且在過去的很多次攻擊中都是目標(biāo)。在過去的一年里,針對(duì)網(wǎng)上商店的攻擊數(shù)量總體上有所增加,一些專門從事網(wǎng)絡(luò)瀏覽的黑客團(tuán)體在電腦上注入流氓腳本,以獲取信用卡的詳細(xì)信息。
SQL注入漏洞允許向數(shù)據(jù)庫(kù)中注入數(shù)據(jù)或從數(shù)據(jù)庫(kù)中讀取信息。即使這個(gè)特定的缺陷不能被用來(lái)直接感染一個(gè)網(wǎng)站,它也有可能讓攻擊者訪問一個(gè)網(wǎng)站上的帳戶。然后可以使用該訪問來(lái)利用此版本中修補(bǔ)的需要身份驗(yàn)證的其他特權(quán)升級(jí)或代碼執(zhí)行缺陷之一。
Sucuri的研究人員警告說:“未經(jīng)身份驗(yàn)證的攻擊,如在這個(gè)特定的SQL注入漏洞中所看到的攻擊,是非常嚴(yán)重的,因?yàn)樗鼈兛梢宰詣?dòng)進(jìn)行,使得黑客很容易對(duì)易受攻擊的網(wǎng)站發(fā)起成功、廣泛的攻擊。”活動(dòng)安裝的數(shù)量、易受攻擊性和成功攻擊的影響是導(dǎo)致此漏洞特別危險(xiǎn)的原因!
建議Magento Commerce和Magento開源用戶升級(jí)到新發(fā)布的版本2.3.1、2.2.8和2.1.17,具體取決于他們使用的分支機(jī)構(gòu)。為了在不部署完整更新的情況下快速保護(hù)其站點(diǎn),用戶還可以選擇僅手動(dòng)安裝SQL注入缺陷(prodsecbug-2198)的補(bǔ)丁。但是,完全更新不應(yīng)該延遲很長(zhǎng)時(shí)間。
根據(jù)Sucuri的說法,站點(diǎn)管理員還應(yīng)該監(jiān)視他們的訪問日志,查看是否有/catalog/product/frontend_action_synchronize path的點(diǎn)擊。對(duì)該路徑的偶爾請(qǐng)求可能是合法的,但在短時(shí)間內(nèi)大量來(lái)自同一IP地址的請(qǐng)求應(yīng)被視為可疑請(qǐng)求,并可能是利用此漏洞的嘗試。



歡迎光臨 灰鴿子遠(yuǎn)程控制軟件 (http://www.wzgoogletg.cn/) Powered by Discuz! X3.4