Взлом shopt-script 7 Исправлено

7

У нас стоит shop-scrip 7.0, все обновления установлены до последнего, но сегодня мы получили письмо следующего содержания:

В первую очередь хотел бы попросить передать это письмо руководству и программистам, которые занимаются разработкой сайта.
# Уязвимость
Тип: Blind Stored XSS
Критичность: Критично
Влияние: Заполучение доступа к админ-панели, кража данных
Для проведения этой атаки, я создал заказ с полезной нагрузкой, в итоге когда администратор, зашел в заказы, сработала полезная нагрузка, и все данные отправились мне, на сессионных куках стоит флаг HttpOnly, так что просто так в админку не залезть, но есть куча других способов как получить доступ к админке, к примеру, скриптом пройтись по всем страницам и отправлять все данные со страниц злоумышленнику на сервер, а так же можно подменить страницу авторизации, администратор сам введет данные и отправит их жертве, ничего не подозревая.

# FIX
Необходимо производить htmlencode всех входящих параметров, которые будут отображены где-либо, а также дабы не было захвата админ панели. Так же рекомендую посмотреть на CSP политику, что не даст возможности отправлять запросы на сторонние ресурсы, того же злоумышленника.
Так как мест, где данные отображаются много, необходимо производить экранирование на входе, чтобы данные в базе были уже в экранированном состоянии.

Естественно нам предоставили подробно все скрины, где все наши заказы и доступная админка. Выкладывать я это не могу из-за моображения безопасности.

Уточните, как такое могло произойти в вашей системе и как исправить эту дыру.

11 комментариев

  • 0

    как исправить эту дыру

    Попробуйте для начала обновить Shop-Script до последней доступной сегодня версии 8.20. Возможно, со времён последнего обновления версии 7 (т. е. почти 3 года назад) эти уязвимости уже были устранены. 

    • +3
      Руслан Руслан 26 июля 2021 18:20 #

      Пару дней назад нам пришло точно такое же письмо. На момент взлома у нас стояла версия shop-script 8.18.0.44. так что дело не в версии.
      Мы решили повторить фокус с Blind Stored XSS.
      при оформлении заказа во все доступные поля можно вставить следующую строку - "><скрипт адрес скрипта></скрипт>
      Заказ оформится, и при открытии заказа администратором выполнится скрипт загруженный с сайта злоумышленника.

      Почему до сих пор такие дыры в Shop Script???

      ps. Взломщик рекомендовал нам следующее: "Необходимо производить htmlencode всех входящих параметров"

      • +1
        Михаил Михаил 10 августа 2021 17:33 #

        Руслан, добрый день. Вы отправляли персональный запрос? Вам что-то ответили?

      • 0

        Это может происходить из-за использования плагинов. Напишите нам в службу поддержки — изучим ситуацию подробнее.

        • +3
          Михаил Михаил 10 августа 2021 17:43 #

          Михаил, я извиняюсь, но даже если это плагины все равно вопросы к Вам. Вы же эти плагины модерируете и выставляете на продажу своим пользователям. Это недопустимо, когда страдает безопасность. Это только значит одно, что вы халатно относитесь к безопасности своего продукта. Первоначальная задача предлагать своим клиентам абсолютно защищенный продукт и не сваливать все на плагины. А если такие плагины и появляются, нужно их снимать с продажи и моментально всех предупреждать, что этот продукт небезопасен. Как пользователи мы сейчас находимся под угрозой, говорить вам не нужно, какие штрафы и проблемы могут последовать за распространение персональных данных. Направили вам персональный запрос и ждем ответ.

          • +1

            Абсолютно безопасных продуктов не бывает. Вы же пользуетесь виндовз? Или убунтой? Так вот критических проблем безопасности в первой в 2021 году было более 40 (43 если точно), во второй -3, 2 из них десктопные, одна серверная. Используя слово "халатный" вы пробуете перевести ваш запрос в раздел юридический, т.к. этот термин именно юридический, однако в  данном случаи, следует поступить иначе.

            Первое - подобные уведомления, принято (с позиции WH (белый хакинг)  - уведомить разработчика персональным запросом, т.к.распространять информацию о взломе в открытых источниках, можно вызвать волну взломов, если ошибка критичная.

            Второе - выждать принятые 14 дней, и только потом опубликовать данное письмо в открытом доступе.

            Третье (опционально) - получить плюшку от разработчиков.


            Я не призываю, скрывать подобные вещи. Однако, кроме волны паники такие посты не несут ничего.

          • +2

            Очень бы хотелось знать о продвижении решения данного вопроса!

            Просьба администрации уведомить тут или как то иначе, о ходе работ.

            А лучше уведомить всех пока не поздно что бы успели хотя бы бекапы сделать.

            • +1
              Дмитрий Дмитрий Webasyst 11 августа 2021 16:33 #

              Если у Вас есть такая проблема, обратитесь с запросом в службу поддержки. Они подскажут, что делать.

              • +1
                Евгений Химич Евгений Химич 11 августа 2021 18:11 #

                Ок, но вам не кажется, что запросы в службу поддержки начнут писать «многие» даже те, кому данные письма еще не приходили? Мне письмо еще не пришло, но запрос, я пожалуй напишу, пусть поддержка скажет мне как «обезопаситься» и что нужно делать.

              • +4

                Ну вы тогда озвучьте формальные признаки, по которым владелец сможет определить есть ли на его установке Shop-Script такая проблема или нет. Если проблема в каком-то плагине - надо его назвать и сказать номер версии до которой проблема есть.

                А то ерунда какая-то получается: да, проблема есть, но вслух не скажем, но каждому на ушко - пожалуйста. Детский сад...

              • +1
                Михаил Ушенин Михаил Ушенин Webasyst 3 сентября 2021 14:35 #

                Мы выпустили обновления Shop-Script и фреймворка Webasyst, в которых устранили описанные вами недостатки системы безопасности. Обновления можно установить в «Инсталлере».

                Сообщите нам, если проблема сохранилась.

                Спасибо вам за то, что помогаете улучшать программные продукты Webasyst!

                Добавить комментарий

                Чтобы добавить комментарий, зарегистрируйтесь или войдите