ভালনারেবিলিটি নাম :CSRF (ক্রস-সাইট অনুরোধ জালিয়াতি) “অ্যাকাউন্ট মুছুন”প্রেস্টাশপ সংস্করণ প্রভাবিত :v1.6.0.4 – v1.7.6.0ভালনারেবল সংস্করণ :<3.7.8প্যাচ করা সংস্করণ :3.7.8ভালনারেবিলিটি রিপোর্ট করা হয়েছে :20শে জুন 2019ভালনারেবিলিটি প্যাচড৷ :25ই জুন 2019আস্ট্রা-তে আমাদের Prestashop ক্লায়েন্টদের মধ্যে একটির নিরাপত্তা নিরীক্ষা করার সময়, আমি PrestaShop মডিউলে একটি সমালোচনামূলক CSRF (ক্রস-সাইট অনুরোধ জালিয়াতি) দুর্বলতা খুঁজে পেয়েছি, ডেটা গোপনীয়তা বর্ধিত (ইনোভাডেলক্স দ্বারা তৈরি)। এটি বর্তমানে 2500 টিরও বেশি সক্রিয় ইনস্টলেশন রয়েছে। এই দুর্বলতার কারণে, একজন অননুমোদিত ব্যবহারকারী একজন প্রমাণীকৃত PrestaShop ব্যবহারকারীর অ্যাকাউন্ট মুছে ফেলতে পারে তাকে ওয়েবে দূষিত লিঙ্ক খোলার জন্য প্রতারণা করে।
একটি উদ্বিগ্ন এবং দায়িত্বশীল নিরাপত্তা সংস্থা হিসাবে, Astra বিলম্ব না করে বিকাশকারীদের দুর্বলতার কথা জানিয়েছে। ইনোভাডেলাক্সের বিকাশকারীরা দ্রুত প্রতিক্রিয়া জানাতে এবং তাদের কর্মে প্রম্পট করেছিল। তারা দুর্বলতা প্যাচ করেছে এবং 25 জুন 2019-এ আপডেট হওয়া সংস্করণ 3.7.8 প্রকাশ করেছে।
দুর্বলতার বিবরণ:
ডেটা প্রাইভেসি এক্সটেন্ডেড মডিউল PrestaShop ওয়েবসাইটগুলিকে GDPR-এর সাথে আরও সারিবদ্ধ করতে পরিচিত। এটিতে নিউজলেটার সাবস্ক্রিপশন ফর্ম, যোগাযোগের ফর্ম, নিবন্ধন ফর্ম, ইত্যাদির জন্য প্রয়োজনীয় গোপনীয়তার সম্মতির মতো বৈশিষ্ট্য রয়েছে৷ এছাড়াও, অর্ডার করা অর্ডারের জন্য সঠিক চালান না থাকলে এটি গ্রাহকদের তাদের অ্যাকাউন্টগুলি মুছে ফেলার অনুমতি দেয়৷ সুতরাং, অ্যাকাউন্টের URL/API মুছে দিন৷ এন্ডপয়েন্ট CSRF (ক্রস সাইট রিকোয়েস্ট ফোরজি) এর জন্য ঝুঁকিপূর্ণ ছিল, যা একজন হ্যাকারকে একটি লগ ইন করা ব্যবহারকারীকে তার/তার PrestaShop অ্যাকাউন্ট মুছে ফেলার জন্য শুধুমাত্র একটি ক্ষতিকারক URL-এ গিয়ে/একটি ওয়েব পৃষ্ঠা দেখার মাধ্যমে প্রতারণা করতে দেয়।প্রযুক্তিগত বিবরণ:
এখানে ধারণার একটি প্রমাণ রয়েছে যা চিত্রিত করে যে কীভাবে দুর্বলতাকে কাজে লাগানো যেতে পারে,
আপনি যা করতে পারেন:
CSRF আক্রমণ ভীতিজনক; তারা একজন আক্রমণকারীকে আপনার ওয়েবসাইটের সংবেদনশীল তথ্য যেমন ক্রেডিট কার্ডের বিশদ বিবরণ, গোপনীয় ডেটাবেস, অ্যাডমিন অ্যাকাউন্ট ইত্যাদি ধরে রাখতে দেয়। কিন্তু, আগে থেকে প্রস্তুত থাকা আপনাকে আপনার ওয়েবসাইটে এই ধরনের প্রচেষ্টাকে বঞ্চিত করতে সাহায্য করতে পারে। নিম্নলিখিত কয়েকটি উপায়ে আপনি আপনার ওয়েবসাইট রক্ষা করতে পারেন:1) সর্বশেষ সংস্করণে আপডেট করুন
প্লাগইন ডেভেলপাররা Prestashop-এ প্যাচ করা সংস্করণ আপডেট এবং প্রকাশ করেছে। আপনি যদি এখনও আপডেট করা এবং নিরাপদ সংস্করণে (3.7.8) না যান তবে এখনই আপডেট করুন। এটি ছাড়াও, আপনি যদি CMS-এর একটি পুরানো সংস্করণ ব্যবহার করেন তবে সেটিও আপডেট করুন।2) ফায়ারওয়ালে বিনিয়োগ করুন
একটি ফায়ারওয়াল আপনার ওয়েবসাইটে একটি প্রতিরক্ষামূলক স্তর ব্যবহার করে। একটি ভাল ওয়েব অ্যাপ্লিকেশন ফায়ারওয়ালে বিনিয়োগ করা আপনাকে বাড়তি নিরাপত্তা, কম সমস্যা, মূলত বিনিয়োগে উচ্চ রিটার্ন দিতে পারে। এরকম একটি প্রিমিয়াম ফায়ারওয়াল হল অ্যাস্ট্রা ফায়ারওয়াল।এটি আপনার ওয়েবসাইটে CSRF, SQLi, XSS, খারাপ বট, OWASP TOP 10 এবং 100+ অন্যান্য আগত হুমকিগুলিকে ব্লক করে। একটি ফায়ারওয়াল আপনার ওয়েবসাইটের জন্য একটি ক্রমাগত এবং ব্যাপক পর্যবেক্ষণ সিস্টেম প্রদান করে।
আপনার ওয়েবসাইট রক্ষা করতে এখানে ক্লিক করুন.
