कुछ हफ़्ते पहले, हम Magento की दुकान का उपयोग करने वाले एक ग्राहक के लिए सुरक्षा स्कैन कर रहे थे। उनकी वेबसाइट का ऑडिट करते समय हमारी टीम ने Affiliate Plus मॉड्यूल में एक महत्वपूर्ण भेद्यता पाई। Affiliate Plus की वेबसाइट के मुताबिक, 7000+ स्टोर्स एक्सटेंशन का इस्तेमाल करते हैं। यह Affiliate Plus Magento मॉड्यूल XSS भेद्यता कई Magento स्टोर को असुरक्षित छोड़ देता है।
एफिलिएट प्लस मैगेंटो मॉड्यूल XSS के बारे में
- जब आप एक सहयोगी के रूप में अपने स्टोर Magento में लॉग इन करते हैं, तो 'मेरा कार्यक्रम अनुभाग' पर जाएँ
- 'कार्यक्रम का नाम' कॉलम में निम्नलिखित जेएस कोड जोड़ें:
<script>alert(/XSS_Vulnerability/)</script>
- 'खोज' बटन पर क्लिक करें
- जावास्क्रिप्ट कोड के निष्पादन का सुझाव देने वाला एक पॉप-अप प्रकट होता है
- इसके अलावा, SQL त्रुटियाँ और डेटाबेस संरचना को उजागर करने वाले एप्लिकेशन द्वारा भी SQL क्वेरीज़ भी दी जाती हैं
परिणाम
XSS, सबसे व्यापक रूप से पाई जाने वाली और शोषित भेद्यता में से एक होने के कारण कुछ महत्वपूर्ण परिणामों के साथ आता है। प्रतिबिंबित XSS के मामले में, परिणाम अक्सर किसी विशेष ग्राहक पर लक्षित होते हैं। हालाँकि, व्यवस्थापक डेटा और अधिक चोरी करने के उद्देश्य से हमले किए जा सकते हैं। इसमें शामिल हैं:
- अंतिम उपयोगकर्ता डेटा/खाता जानकारी से समझौता
- लक्षित हमलों के माध्यम से व्यवस्थापक विवरण की चोरी
- वेब ऐप की आंतरिक निर्देशिका संरचना का एक्सपोजर
समयरेखा
Affiliate Plus टीम इस मुद्दे को समझने में बहुत तेज थी और जल्दी से इसे ठीक करने पर काम कर रही थी। उन्होंने आवश्यक सुधारों को लागू करने और पैच के साथ मॉड्यूल के एक अद्यतन संस्करण को जारी करने में सक्रिय रूप से काम किया। टीम को प्रणाम!