소매업체와 브랜드의 역량을 강화하는 데 있어 Magento는 가장 널리 사용되는 전자 상거래 플랫폼 중 하나입니다. 그러나 강력한 권한에는 안전한 전자 상거래 비즈니스를 위한 보안 관행을 준수해야 하는 더 큰 책임이 따릅니다. 반대로, Magento는 신용 카드 사기 및 사용자 자격 증명 도용을 위한 가장 표적이 높은 전자 상거래 플랫폼 중 하나이며, 놀랍게도 62%의 매장에 적어도 하나의 보안 결함이 있습니다.
Magento 보안은 상점 소유자에게 최우선 순위여야 하지만 그렇지 않습니다. 많은 상점 소유자가 업데이트된 보안 패치로 최신 버전으로 적시에 업데이트하지 못하는 반면, 대부분의 상점 소유자는 보안 패치를 함께 설치하는 것의 중요성을 간과합니다. 결과적으로 Magento의 보안 관행은 새로운 기술의 도움으로 때때로 매장이 해킹되는 명백한 이유로 악명 높은 뉴스에 나왔습니다.
다음은 과거에 온라인 상점을 사이버 범죄에 노출시켰을 수 있는 취약한 Magento 확장 프로그램입니다.
1. PDF 인보이스 플러스 확장 프로그램
PDF 인보이스 확장 프로그램은 수백 개의 Magento 매장에서 고객용 인보이스를 생성하는 데 널리 사용되는 확장 프로그램입니다. 여기에는 일반적으로 최종 고객 주소와 때로는 개인 정보도 포함됩니다. 취약한 확장 프로그램은 Google dorks를 사용하는 사용자의 인보이스 누출을 통해 최종 사용자 데이터 손실을 암시하는 사용자 개인 정보 위협을 제기했습니다. 이 문제는 보안 팀이 Magento의 고객 매장 중 한 곳에서 보안 감사를 수행하는 동안 밝혀졌습니다.
Google dork inurl:pdfinvoiceplus/를 통한 일반 검색 수행 시 , PDF 인보이스를 사용하는 모든 웹사이트 플러스 팝업
확장 취약점은 Astra 팀이 문제에 대해 적시에 보고한 덕분에 PDF Invoice Plus 팀에 의해 즉시 수정되었습니다. 자세한 내용은 여기에서 취약점에 대한 자세한 보고서를 참조하십시오.
2. Affiliate Plus Magento 확장 프로그램
XSS(교차 사이트 스크립팅) 취약점이 Magento Affiliate Plus 확장 프로그램에서 밝혀져 7000개 이상의 저장소가 최종 사용자 데이터/계정 정보 손상, 자격 증명 손실 및 노출된 내부 디렉터리 구조에 취약합니다. 가장 널리 발생하는 취약점 중 하나인 XSS는 몇 가지 중요한 결과를 가져오며, 대상이 된 경우 관리 데이터가 손실됩니다.
클라이언트의 Magento 스토어에 작은 JavaScript 코드를 추가하면 SQL 오류 및 데이터베이스 구조를 노출하는 SQL 쿼리도 드러났습니다.
Astra 팀에서 발견한 취약점은 Affiliate plus 팀에 보고되자마자 수정되었습니다. 취약점에 대한 자세한 보고서는 여기에서 확인하십시오.
3. 가짜 SUPEE-5344 패치
SUPEE-5344는 사이버 범죄자가 취약한 소매 사이트에 대한 관리자 액세스 권한을 얻을 수 있게 하는 버그인 악명 높은 Magento 가게 도난 버그에 대한 공식 보안 패치입니다. 좀도둑 버그로 인해 해커는 주문 양식에서 바로 결제 정보를 제거하여 신용 카드 결제 정보를 악용하거나 처리하는 동안 결제 정보를 분산시키는 많은 PHP 파일을 수정할 수 있었습니다.
이 취약점을 억제하기 위한 패치가 출시되었지만 불행히도 많은 사이트가 즉시 업데이트되지 않았습니다. 수정의 중요성을 평가한 해커는 멀웨어가 포함된 합법적이지만 가짜 패치를 만들 기회를 찾았습니다. 이것은 차례로 필수 사용자 지불 자격 증명의 데이터베이스를 훔칠 것입니다.
가짜 SUPEE-5344 패치는 160줄에 가까운 코드로 이루어진 정교한 패치였습니다. (이미지 제공:Sucuri)
4. Magento 확장의 SQL 주입 취약점
EM(Extreme Magento) Ajaxcart, EM(Extreme Magento) Quickshop, MD Quickview, SmartWave QuickView와 같은 다양한 Magento 타사 테마 및 확장 프로그램에서 SQL 주입 취약점이 발견되었습니다. 이들은 가장 널리 사용되는 확장 기능 중 일부이며 SmartWave의 Porto, Trego 및 Kallyas를 비롯한 여러 다양한 테마에서 사용됩니다.
SQL 인젝션 공격은 공격자가 사용자 입력을 통해 악성 SQL 문을 삽입하는 기술입니다. 결과적으로 공격자는 백핸드 기술 정보를 공개하거나 이러한 악성 SQL 문을 통해 조작하여 제한된 영역에 대한 액세스 권한을 부여하는 자세한 오류 알림을 받을 수 있습니다.
이러한 공격의 희생자가 되는 것을 피하기 위해 Magento 사용자는 자격 증명을 재평가하고 확장을 구입한 각 회사로부터 보안 업데이트를 받아야 했습니다. Magento 보안 모범 사례의 전체 목록을 검토하면 향후 이러한 취약점으로부터 보호하는 데 큰 도움이 될 수 있습니다.
5. Amasty RMA 플러그인 취약점
Amasty RMA 확장 취약점은 해커가 Magento 서버에 악성 파일을 업로드할 수 있도록 합니다. 또한 RMA를 사용하면 해커가 서버에서 디렉터리와 중요한 파일을 다운로드할 수 있습니다. 결과는 심각한 서버 손상에서 사용자/관리자에 대한 표적 공격에 이르기까지 다양합니다.
Magento 사용자와의 보안 감사 중 Astra 팀은 PHP 셸 업로드를 시도하여 취약점을 해결했습니다.
이 취약점으로부터 웹사이트를 보호하기 위한 즉각적인 수정은 버전 1.3.11로 전환하는 것입니다.
Magento 매장을 보호하는 데 도움이 필요하십니까? 추가 지원이 필요하면 Astra에 문의하세요.