CSRF攻击和会话劫持漏洞

Question

从1.8ce alpha发行说明：

Magento Web商店还有其他跨站点请求伪造（CSRF）保护措施，这意味着冒名顶替者不再冒充新注册的客户并代表客户执行操作。

和：

在早期版本中，Magento在注册过程中容易受到会话固定攻击的影响。登录其帐户后，注册用户的会话ID不会更改。因此，如果攻击者了解未经授权的会话ID，并且该用户成功注册，则攻击者能够接管新注册的帐户。现在，会话ID在成功注册后发生更改，使未经授权使用帐户不可能。

如果这是在发行说明中，而我看不到关于以前的版本解决此问题的点（我在错误的位置看吗？） - 那意味着那意味着 当前的1.8店可能对这些攻击向量开放?

资源： http://www.magentocommerce.com/knowledge-base/entry/ce-18-later-release-notes

Answer 1

简而言之，是的。 CE 1.7仍然容易受到这些特定攻击的影响，因为没有发布包含补丁程序的安全释放。

对于后一个，会话固定攻击，更改是Magento已经用来与当前安全性最佳实践保持一致的安全实践的升级。如果他们确实使用CSRF修复程序发布补丁，则不太可能发行1.7。

真正的问题是，这些CSRF漏洞到底是什么？毫无疑问，他们没有在发行说明中包括细节，从而进一步危害所有先前的版本，但是为了修补旧实现，很高兴知道。

更新＃1：在与Magento联系以找出何时发布上述漏洞的补丁后，我收到以下答复：

请给我一些时间进一步研究。我不确定这两个项目是否有可用的补丁，因为它们在我们的系统中列出为产品增强功能，而不是错误。当我获得更多信息时，我会更新您。

当我获得它们时，我将在此处发布更多详细信息，并会尽力获取补丁，因为目前似乎没有任何补丁。

更新＃2： 与支持团队来回后，我能够为Magento EE 1.12.0.2获得适当的补丁。没有针对Magento CE 1.7.0.2发出补丁，就我内部调查的技术人员而言，没有计划为CE 1.7.X发布官方补丁而不是在即将到来的CE 1.8中解决这些问题。稳定版本。

至于EE特定的补丁文件，我无法直接将其发布（或补丁应用程序工具），因为它无疑会违反Magento和我本人和我工作的公司之间的NDA。相关补丁的名称是：“ Patch_supee-1513_ee_1.12.0.2_v1.sh” - 如果您拥有企业版或使用它的客户端，则应能够从Magento支持团队请求此补丁以及有关注释。它应该修复的CSRF漏洞。

对于CE 1.7.0.2用户，我已经自由地生成一个补丁文件（基于Magento提供的补丁），该文件仅包括更改Magento CE 1.7.0.2核心代码文件的代码的块。以正常方式，它包括无关紧要的添加注释和调整格式以及相关代码更改。创建此要求，手动更改原始补丁以使用提供的补丁应用工具将其应用于应用，然后使用Git根据应用更改生成补丁程序。

我创建的补丁文件可以从这个要旨下载： https://gist.github.com/davidalger/5938568

要应用该补丁，请先将CD添加到Magento安装的根中，然后运行以下命令： patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff

EE特定的补丁包含对企业特定控制器的键验证检查的表单，对企业/默认和企业/iPhone模板文件的更改将form键包含在用于修补的控制器操作的表单中，以及其他完整的CACHE CACH funtionalition，以正确地说明用于正确的说明在缓存页面上来回传递键。

免责声明： 我尚未测试Magento提供的EE补丁，也没有测试过我已上传到链接的GIST的补丁。参考要塞中提供的补丁没有保修，并且可能会或可能不会完全解决CE 1.8发行说明中引用的漏洞。作为未经测试的补丁，也不能保证它的全部或部分功能。即以您自身的风险使用，并在部署到生产环境之前进行尽职调查。如果您发现该补丁的问题，请告诉我，我将进行更新。

Answer 2

我不是100％确定的，因为我无法复制这个问题，但是

意思是冒名顶替者 再也不能了 冒充新注册的客户

意味着到目前为止，“冒名顶替者”可能会冒充新注册的客户。
我希望这只是“语义”，但我认为这意味着您害怕它的含义。