몇 주 전에 우리는 Magento 상점을 사용하는 고객에 대한 보안 검사를 수행하고 있었습니다. 웹사이트를 감사하는 동안 우리 팀은 Affiliate Plus 모듈에서 치명적인 취약점을 발견했습니다. Affiliate Plus의 웹사이트에 따르면 7000개 이상의 매장에서 확장 기능을 사용합니다. 이 Affiliate Plus Magento 모듈 XSS 취약점은 다수의 Magento 저장소를 취약하게 만듭니다.
Affiliate Plus Magento Module XSS 정보
- Magento 스토어에 제휴사로 로그인하면 '내 프로그램 섹션'으로 이동합니다.
- '프로그램 이름' 열에 다음 JS 코드를 추가합니다.
<script>alert(/XSS_Vulnerability/)</script>
- '검색' 버튼 클릭
- 자바스크립트 코드 실행을 제안하는 팝업이 나타납니다.
- 또한 SQL 오류 및 데이터베이스 구조를 노출하는 응용 프로그램에서 SQL 쿼리도 제공합니다.
결과
가장 널리 발견되고 악용되는 취약점 중 하나인 XSS는 몇 가지 중요한 결과를 초래합니다. 반영된 XSS의 경우 결과는 종종 특정 고객을 대상으로 합니다. 그러나 관리자 데이터 등을 훔치는 것을 목표로 공격을 수행할 수 있습니다. 다음이 포함됩니다.
- 최종 사용자 데이터/계정 정보 손상
- 표적 공격을 통한 관리자 세부 정보 도용
- 웹 앱의 내부 디렉토리 구조에 노출
타임라인
Affiliate Plus 팀은 문제를 이해하는 데 매우 빨랐고 신속하게 수정 작업을 수행했습니다. 그들은 필요한 수정 사항을 배포하고 패치가 포함된 업데이트된 버전의 모듈을 출시하는 데 적극적으로 노력했습니다. 팀에 경의를 표합니다!