কয়েক সপ্তাহ আগে, আমরা Magento শপ ব্যবহার করে একজন গ্রাহকের জন্য একটি নিরাপত্তা স্ক্যান করছিলাম। তাদের ওয়েবসাইট অডিট করার সময় আমাদের দল অ্যাফিলিয়েট প্লাস মডিউলে একটি গুরুতর দুর্বলতা খুঁজে পেয়েছে। অ্যাফিলিয়েট প্লাসের ওয়েবসাইট অনুসারে, 7000+ স্টোর এক্সটেনশন ব্যবহার করে। এই অ্যাফিলিয়েট প্লাস ম্যাজেন্টো মডিউল XSS দুর্বলতা অনেকগুলি Magento স্টোরকে দুর্বল করে দেয়৷
অ্যাফিলিয়েট প্লাস ম্যাজেন্টো মডিউল XSS সম্পর্কে
- অ্যাফিলিয়েট হিসেবে আপনার স্টোর Magento-এ লগ ইন করলে, 'My Program Section'-এ যান
- 'প্রোগ্রামের নাম' কলামে নিম্নলিখিত JS কোড যোগ করুন:
<script>alert(/XSS_Vulnerability/)</script>
- 'অনুসন্ধান' বোতামে ক্লিক করুন
- জাভাস্ক্রিপ্ট কোড কার্যকর করার পরামর্শ দিয়ে একটি পপ-আপ প্রদর্শিত হবে
- এছাড়া, এমনকি এসকিউএল প্রশ্নগুলিও এসকিউএল ত্রুটি এবং ডাটাবেস কাঠামো প্রকাশ করে অ্যাপ্লিকেশন দ্বারা দেওয়া হয়
পরিণাম
XSS, সবচেয়ে ব্যাপকভাবে পাওয়া এবং শোষিত দুর্বলতাগুলির মধ্যে একটি হওয়ায় কিছু গুরুতর পরিণতি আসে। প্রতিফলিত XSS এর ক্ষেত্রে, ফলাফলগুলি প্রায়শই একটি নির্দিষ্ট গ্রাহককে লক্ষ্য করে। যাইহোক, অ্যাডমিন ডেটা এবং আরও অনেক কিছু চুরি করার লক্ষ্যে আক্রমণ করা যেতে পারে। এর মধ্যে রয়েছে:
- শেষ ব্যবহারকারীর ডেটা/অ্যাকাউন্ট তথ্যের সাথে আপস
- লক্ষ্যযুক্ত আক্রমণের মাধ্যমে প্রশাসকের বিবরণ চুরি করা
- ওয়েব অ্যাপের অভ্যন্তরীণ ডিরেক্টরি কাঠামোর এক্সপোজার
টাইমলাইন
অ্যাফিলিয়েট প্লাস টিম খুব দ্রুত সমস্যাটি বুঝতে পেরেছিল এবং দ্রুত এটি ঠিক করার জন্য কাজ করেছিল। তারা প্রয়োজনীয় সংশোধন স্থাপনে এবং প্যাচের সাথে মডিউলটির একটি আপডেট সংস্করণ প্রকাশে সক্রিয়ভাবে কাজ করেছে। দলকে ধন্যবাদ!
