नवीनतम भेद्यता के खिलाफ क्या करें: क्रेडिट कार्ड डेटा चोरी?

11

कुछ दिन पहले खबर सामने आने के बाद, मैंने बहुत कुछ नहीं सुना है - और कोई आधिकारिक बयान नहीं - सबसे नई भेद्यता के बारे में। सुकुरी का कहना है कि क्रेडिट कार्ड की जानकारी, या यहां तक ​​कि $_POSTव्यवस्थापक-पासवर्ड और इस तरह के सभी -डेटा प्राप्त करना संभव है ।

मेरे पास अभी तक ऐसा मामला नहीं है जहां एक ग्राहक को हैक किया गया था, लेकिन कार्रवाई होने तक इंतजार नहीं करना चाहिए। क्या किसी ने अभी तक एक पैच देखा है?

security  magento-ce 
simonthesorcerer
स्रोत
नवीनतम सुचुरी लेख को देखते हुए, आप @Ben Lessani (Sonassi) के उत्तरों में दिलचस्पी ले सकते हैं: magento.stackexchange.com/a/72697/231
अन्ना वोकल

जवाबों:

8

आप किस तरह के पैच या आधिकारिक बयान की उम्मीद करते हैं? ब्लॉग पोस्ट केवल यह कहती है कि हमलावर द्वारा कोड तक पहुंचने के बाद एक वेब एप्लिकेशन से समझौता किया जा सकता है। यह प्रत्येक और हर वेब एप्लिकेशन पर लागू होता है। मैजेंटो शब्द पूरी तरह से वहाँ पर विनिमेय है। वर्तमान में, उनके पास कोई सुराग नहीं है कि प्रभावित मेजबान से कैसे समझौता किया गया था। दिए गए उदाहरणों में खुला दरवाजा सब कुछ हो सकता है, सर्वर मुद्दों से लेकर "परत 8" तक।

जब तक वे उस अस्पष्ट रहते हैं और मूल्यवान जानकारी के साथ नहीं आते हैं, यह सब बहुत अधिक विपणन है जैसे कि उनकी कंपनी का नाम फैलाना, लहरें बनाना, खुद को सुरक्षा विशेषज्ञों के रूप में स्थिति बनाना आदि, "चोरी" "क्रेडिट कार्ड" जैसे buzzwords का संयोजन करना "" Magento "स्पष्ट रूप से एक अच्छी कहानी बनाता है।

हम अभी भी इस पोस्ट से क्या सीख सकते हैं:

  • अप्रत्याशित परिवर्तनों के लिए अपने कोडबेस को नियमित रूप से देखें।
  • एक PSP करने के लिए भुगतान डेटा हैंडलिंग छोड़ दें।

अपडेट: अब बेन मार्क्स द्वारा एक आधिकारिक बयान दिया गया है

mam08ixo
स्रोत
हां, मुझे पता है कि स्रोत बहुत ही विशिष्ट है। मैं यह भी नहीं जानता कि क्या उन्होंने इस मुद्दे पर मैगेंटो / ईबे से संपर्क किया है। वैसे भी, यह अभी भी संभव है (और पिछले महीनों में दो बार हुआ है) कि यह एक कोर-बग है, और मुझे कम से कम एक बयान की उम्मीद होगी जैसे "हम जांच कर रहे हैं" या "हमारी गलती नहीं, कुछ मॉड्यूल"।
सिमोथेनेसोररर
मैं मानता हूं कि मूल कारण हजारों एक्सटेंशनों में से एक या कोई (अप्रकाशित) Magento संस्करण भी हो सकता है। अभी भी बहुत कम जानकारी के लिए लक्षित कार्रवाई imho लेने के लिए।
mam08ixo
3

जब तक आपका Magento संस्करण अद्यतित है, आपने सभी नवीनतम पैच इंस्टॉल कर लिए हैं और आपका सर्वर सेटअप (फ़ाइल अनुमतियां, किसी अन्य सॉफ़्टवेयर / वेबसाइट चलाने, फ़ायरवॉल, आदि) के संबंध में सर्वोत्तम अभ्यास पूरा नहीं करता है, यह सब आप अभी के लिए कर सकते हैं ।

मुझे लगता है कि यह उल्लेख करना महत्वपूर्ण है कि अभी तक कोई विशिष्ट हमला वेक्टर नहीं है:

तो हमला कैसे काम करता है? हम अभी भी हमले के वैक्टर की जांच कर रहे हैं। ऐसा लगता है कि हमलावर मैगेंटो कोर या कुछ व्यापक रूप से उपयोग किए जाने वाले मॉड्यूल / विस्तार में भेद्यता का शोषण कर रहा है।

संपादित करें:

जैसा कि ऊपर मेरी टिप्पणी में उल्लेख किया गया है, आप बेन लेसानी के एक अन्य संबंधित प्रश्न का विस्तृत उत्तर भी देख सकते हैं जो कुछ पृष्ठभूमि-जानकारी प्रदान करता है: https://magento.stackexchange.com/a/72697/231

अन्ना वोक्कल
स्रोत
2

नहीं (केवल) Magento

मैंने कई अन्य वेबसाइटों को इस तरह हैक किया है, कोड आधार में दुर्भावनापूर्ण कोड सम्मिलित करते हुए, और न केवल मैगेंटो में। और कई वैरिएंट हैं: स्क्रिप्ट्स POST डेटा चुराना, स्क्रिप्ट XSS जोड़ना, रूट पासवर्ड चुराने की कोशिश करने वाली स्क्रिप्ट, उस डेटा को प्रोसेस करने की अनुमति देने वाली स्क्रिप्ट्स (बिटकॉइन माइनिंग के लिए, उस सर्वर से स्पैम ईमेल भेजने के लिए), आदि ...

कुछ मामलों में इसका कारण क्लाइंट कंप्यूटर से FTP क्रेडेंशियल (वायरस / मालवेयर द्वारा) चुराया गया था, अन्य मामलों में यह एप्लिकेशन में एक शोषण का उपयोग करता है।

कई अन्य एप्लिकेशन हैं जो सर्वर के लिए कारनामों के माध्यम से पहुंच प्रदान कर सकते हैं, उदाहरण के लिए वर्डप्रेस।

केवल एक ही मामला है जहां Magento को दोष देना होगा और Magento की एक कार्रवाई की उम्मीद की जानी चाहिए और वह यह है: यदि शोषण किया गया आवेदन नवीनतम संस्करण का Magento हो और पूरी तरह से पैच किया गया हो।

तो केवल एक मामूली मौका है कि यह एक हाइलाइट किया गया मामला पहली जगह में मैगनेटो में गलती के कारण हुआ। यही कारण है कि आप Magento से कुछ भी नहीं सुनते हैं।

यहाँ नई बात यह है कि सम्मिलित कोड बहुत विशेष रूप से Magento को लक्षित कर रहा है और Magento के कोड आर्किटेक्चर और सिद्धांतों का उपयोग कर रहा है।

क्या करें

अब आपके प्रश्न का उत्तर देने के लिए "इसके खिलाफ क्या करना है?"

  • कभी भी एक ही सर्वर इंस्टेंस पर दो अलग-अलग एप्लिकेशन न चलाएं
    जैसे वर्डप्रेस + मैगेंटो। कभी-कभी आप वर्डप्रेस को www.magentoshop.com/blog/ या Magento के www.wordpresswebsite.com/shop/ पर चलने के रूप में देखते हैं। ऐसा मत करो। वर्डप्रेस में एक्सप्लॉइट आपके मैग्नेटो डेटा तक हमलावर को पहुंच प्रदान कर सकता है।

  • एक संस्करण नियंत्रण प्रणाली का उपयोग करें जो
    मैं जीआईटी का उपयोग कर रहा हूं और वेबसाइट को तैनात करने के लिए सर्वर पर भी (केवल पहुंच पढ़ें)। यह मुझे रनिंग द्वारा सिस्टम में होने वाले बदलावों की त्वरित जानकारी भी देता है git status

  • कभी भी एफ़टीपी का उपयोग न करें, केवल एसएफटीपी,
    मेरे द्वारा बताए गए पासवर्ड को कभी स्टोर न करें, एफ़टीपी पासवर्ड क्लाइंट कंप्यूटर से चुराए गए थे। एफ़टीपी का उपयोग करना भी सुरक्षित नहीं है क्योंकि यह इंटरनेट के माध्यम से अनएन्क्रिप्टेड डेटा भेजेगा। तो SFTP का उपयोग करें और अपने पासवर्ड को कभी भी अपने एफ़टीपी एप्लीकेशन में स्टोर न करें, बस आलसी न हों और हर बार जब आप अपने सर्वर से कनेक्ट हों तो उन्हें टाइप करें।

7ochem
स्रोत
7ochem
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.