کمیته رکن چهارم – مهاجمان می توانند با سوء استفاده از سه آسیب پذیری اعتبارسنجی ورودی، XSS و CSRF نشست مرورگر را ارتباط ربایی کرده و داده ها را به سرقت ببرند.
به گزارش کمیته رکن چهارم،eBay سه آسیب پذیری امنیتی جدی را که اخیرا در میان افزار سیستم تجارت الکترونیک Magneto کشف کرده بود اصلاح نمود.
هفته گذشته سه آسیب پذیری امنیتی در پلت فرم منبع باز Magneto کشف شد. در حال حاضر این پلت فرم توسط eBay برای تراکنش ها و خریدهای آنلاین استفاده می شود.
اولین آسیب پذیری مربوط به نقص CSRF می باشد که در برنامه وب سمت کاربر Magento شناسایی شده است. آسیب پذیری XSS به مهاجم راه دور اجازه می دهد تا اسکریپت ها را به ماژول خدمات آنلاین تزریق نماید و بدین ترتیب به مهاجمان اجازه می دهد تا حملاتی از قبیل ارتباط ربایی حساب کاربری سمت کلاینت، سرقت هویت سمت کلاینت، تغییر مسیر سمت کلاینت و دستکاری ماژول های خدمات متصل شده یا آلوده شده را هدایت نمایند.
دومین آسیب پذیری مربوط به اعتبارسنجی ورودی می باشد و می تواند توسط هکرها با پایین ترین حق دسترسی حساب کاربری مورد سوء استفاده قرار بگیرد.
سومین مساله امنیتی، آسیب پذیری CSRF سمت کلاینت است که در ماژول پیام رسانی برنامه کاربردی Magento شناسایی شده است. مهاجمان راه دور با پایین ترین حق دسترسی حساب کاربری می توانند پیام های داخلی Magento را حذف نمایند و حملات MitM می تواند برای ردگیری نشست های کاربر و حذف پیام ها راه اندازی شود. با توجه به گزارشات این آسیب پذیری چند سال پیش افشاء شده است.
این آسیب پذیری ها در ماه مارس به تایید eBay رسیده است. در حال حاضر اصلاحیه های امنیتی آن ها در دسترس قرار دارد.
منبع:مرکزماهر
