已收藏,可在 我的資料庫 中查看
關注作者
您可能還需要

黑客又來了!電商系統Magento被植入惡意代碼

Magento是一套專業開源的電子商務系統,被眾多電商網站廣泛使用,在全球范圍內使用者超過24萬,包括eBay,是廣受贊譽的全球最優秀的電子商務系統。但最近,安全研究人員發現有黑客在Magento平臺植入惡意代碼來竊取信用卡數據。雨果網獲悉,安全公司Sucuri研究者表示,攻擊

黑客又來了!電商系統Magento被植入惡意代碼黑客又來了!電商系統Magento被植入惡意代碼

Magento是一套專業開源的電子商務系統,被眾多電商網站廣泛使用,在全球范圍內使用者超過24萬,包括eBay,是廣受贊譽的全球最優秀的電子商務系統。但最近,安全研究人員發現有黑客在Magento平臺植入惡意代碼來竊取信用卡數據。

雨果網獲悉,安全公司Sucuri研究者表示,攻擊者能夠收集到用戶向Magento平臺提交的所有數據,然后仔細過濾掉那些不像信用卡數據的信息。

Sucuri惡意軟件高級研究員Peter Gramantik表示,攻擊者將惡意代碼注入到Magento中,但具體流程還不清楚。攻擊者們似乎在利用Magento核心或者是某個廣泛使用的模塊/插件中的漏洞。

攻擊者能夠收集所有的POST請求,對它們進行分析,然后使用公鑰加密他們。如果POST參數符合要求,攻擊者就會把他們儲存下來。

竊取來的信用卡數據則保存在一個假的圖片文件夾里。這些圖片并不能顯示,用戶也無法下載。但是攻擊者可以下載并解密,然后獲悉Magento商務平臺上的所有支付信息。

Sucuri還發現了另一種從Magento竊取數據的方法,沒有上一種復雜,當然效果也要打折扣。攻擊者將惡意代碼樣本注入到Magento的結帳模塊中。這段惡意代碼顯示,信用卡數據在交易之前就已經被搜集,然后以純文本形式被發送給攻擊者。

這些攻擊者似乎非常了解Magento的工作模式。“攻擊者熟悉模塊運行的方式和代碼,利用模塊中儲存的未經保護的敏感數據竊取信息。”(編譯/雨果網 唐小玉 譯審 何志勇)

相關標簽:

分享到:

--
評論
最新 熱門 資訊 資料 專題 服務 果園 百科 搜索

收藏

--

--

分享
欧美bbw极品另类| 真人做受120分钟免费看| 国产精品小视频合集|