این روزها سازمان ها و افراد زیادی برای مدیریت و سایت ها و محتوای موجود در آن از اسکریپت های آماده و محبوبی مثل WordPress و Magento استفاده می کنند که وردپرس جنبه عمومی دارد و مجنتو برای راه اندازی و ساخت فروشگاه اینترنتی به کار گرفته می شود.به تازگی حفره امنیتی مهمی در این دو CMS کشف شده است که در این مقاله می خواهیم به جزئیات آن و راه های مقابله با خطرات امنیتی بپردازیم. فقط نکته قابل توجه این است که این حفره بر پایه اسکریپت می باشد و به هیچ کدام از بخش های امنیتی سرور مرتبط نمی شود.
آسیب پذیری های Magento نسخه 1.9
این آسیب پذیری که اخیراً توسط نیروهای فعال در حوزه امنیت وب کشف و به اشتراک گذاشته شده است در آخر امکان آپلود فایل های PHP تخریب گر در هاست جهت اجرا در وب سرور را فراهم می کند.
که مهاجم می تواند همه ی مکانیسم های امنیتی را توسط این حفره امنیتی دور بزند و نسبت به کنترل فروشگاه در بخش های مختلف چون دیتابیس، اطلاعات مالی و همینطور کارت های اعتباری که اطلاعات آن در سیستم درج شده باشد اقدام نماید.
به این نکته نیز توجه داشته باشید که این مشکل به افزونه یا قالب خاصی محدود نمی باشد بلکه هسته اصلی Magento از این باگ مهم برخوردار است که در هر شرایطی موثر واقع می شود.
آسیب پذیری های WordPress نسخه 4.2
این آسیب پذیری که اخیراً توسط نیروهای فعال در حوزه امنیت وب کشف و به اشتراک گذاشته شده است به دلیل استفاده از تکنولوژی ذخیره سازی XSS در نسخه x.2.4 این اسکریپت رخ داده است.
متاسفانه در اثر این حفره امنیتی اقداماتی از طریق جاوا اسکریپت قابل انجام می باشد که به شرح زیر می باشد:
1- کد Java Scripts از طریق قسمت نظرات یا بخش هایی شبیه به این تزریق می گردد و هنگام مشاهده آن نظرات یا محتوا متنی موثر واقع می شود.
2- اگر دسترسی از طریق لاگین به بخش Admin انجام شود فرد مهاجم با استفاده از این فرصت می تواند کد های مورد نظرش را در بخش قالب و پلاگین های موجود تزریق و بعد اجرا کند.
3- با استفاده از این باگ فرد مهاجم می تواند دست به تغییر رمز عبور admin بزند و حتی یک اکانت مشابه admin در اسکریپت ایجاد نماید و توسط آن هر آنچه کاربر admin می تواند، انجام بدهد را انجام دهد.
هکرها کدهای تخریب گر خودشان را به داخل مجنتو می فرستند ولی هنوز مشخص نشده که چطور این کار را انجام می دهند . این طور به به نظر می رسد که هکر یک آسیب پذیری داخل هسته مجنتو پیدا کرده است . همه درخواست های POST جمع آوری شده ولی درون اسکریپت حمله وی قانونی وجود دارد که تنها اطلاعات کارت های اعتباری را جمع می کند . اگر ساختار پارامترهای POST یکی شود, هکر فقط این اطلاعات را ذخیره می کند نه هیچ چیز دیگری را .
بعد از آن، اطلاعاتی که جمع آوری شد به وسیله یک کلید عمومی که در اسکریپت می باشد رمزنگاری می شود و در مرحله بعد درون یک فایل جعلی عکس ذخیره می شود . اگر شخصی سعی کند تا این تصویر را آپلود کند , نمایش نمی دهد . ولی در عوض هکر می تواند تصویر را دانلود و بعد آن را رمزگشایی کرده و اطلاعات کارت های اعتباری را خارج کند . این محققین راه ساده تر و تاثیر گذار تری را نیز برای سرقت اطلاعات از مجنتو ارائه داده اند . در این مثال کد حمله به داخل ماژول های پرداخت مجنتو تزریق می شود و بعد از آن اطلاعات پرداخت و تراکنش ها را جمع آوری می کند و در آخر اطلاعات به صورت متن ساده به حساب هکر ارسال می شود.
این افرادی که این حملات را انجام می دهند به طور کامل با مجنتو و نحوه عملکرد آن آشنایی دارند و می دانند که ماژول ها چطور کار می و با کد های ساخته شده برای آن ها آشنایی دارند .
