Атака CSRF и сессия угона уязвимость
https://magento.stackexchange.com/questions/3325
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Из примечаний на выпуск Alpha 1.8ce:
В веб -магазине Magento есть дополнительная защитная защита подделки (CSRF) по кросс -запросам (CSRF), что означает, что самозванца больше не может выдать себя за вновь зарегистрированного клиента и выполнять действия от имени клиента.
а также:
В более ранних версиях Magento был уязвим для атаки фиксации сеанса во время процесса регистрации. После входа в свою учетную запись зарегистрированный идентификатор сеанса пользователя не изменился. Следовательно, если злоумышленник знал о несанкционированном идентификаторе сеанса и, если этот пользователь успешно регистрируется, злоумышленник смог взять на себя вновь зарегистрированную учетную запись. Теперь идентификатор сессии меняется после успешной регистрации, что невозможно невозможно использовать учетную запись.
Если это в примечаниях по выпуску, и я не вижу высвобождения точек на предыдущих версиях, посвященных этому (я ищу не в том месте?) - тогда это значит, что это значит, что это значит Текущие магазины до 1,8 потенциально открыты для этих векторов атаки?
Источник: http://www.magentocommerce.com/knowledge-base/entry/ce-18-later-release-notes
Решение
Короче говоря, да. CE 1.7 по -прежнему уязвим для этих конкретных атак, потому что не было выпущено никакого выпуска безопасности, которое содержит патч.
В случае последнего, атаки фиксации сеанса, изменение является обновлением в методах безопасности, которую Magento уже использовал для того, чтобы оставаться в соответствии с текущими наилучшими действиями безопасности. Не что -то, вероятно, будет выпущено в CE 1.7, если они выдают патч с исправлениями CSRF.
Реальный вопрос заключается в том, что именно эти уязвимости CSRF были фиксированными? Несомненно, хорошая вещь, что они не включали специфики в заметки о выпуске, что еще больше ставит под угрозу все предыдущие выпуски, но было бы неплохо знать ради исправления старых реализаций.
Обновление № 1:Получив Мигенто, чтобы выяснить, когда они будут выпускать исправления для приведенных выше уязвимостей, я получил следующий ответ:
Позвольте мне некоторое время, чтобы исследовать это дальше. Я не уверен, есть ли патчи, доступные для этих двух элементов, так как они указаны в нашей системе как улучшения продукта, а не как ошибки. Я обновлю вас, когда получу больше информации.
Я опубликую здесь дополнительные подробности, как я получаю их, и буду делать все возможное, чтобы получить исправления, так как кажется, что в настоящее время нет никаких патчей.
Обновление № 2: После туда и обратно с командой поддержки я смог получить надлежащий патч для Magento EE 1.12.0.2. Для Magento CE 1.7.0.2 не было выпущено патч, и, насколько знает техник, который рассматривал его внутренне, нет планов выпустить официальный патч для CE 1.7.x, вместо этого решать проблемы только в предстоящем CE 1.8 стабильный релиз.
Что касается специального патча -файла EE, я не могу опубликовать его (или инструмент приложения для патча) здесь непосредственно, поскольку он, несомненно, будет нарушать NDA между Magento и мной лично и компанией, для которой я работаю. Имя соответствующего патча: «patch_supee-1513_ee_1.12.0.2_v1.sh»-если у вас есть Enterprise Edition или клиент, использующий его, вы сможете запросить этот патч в команде поддержки Magento вместе с примечанием о уязвимости CSRF, которые он должен исправить.
Для пользователей CE 1.7.0.2 я использовал свободу генерировать патч -файл (на основе патча, предоставленного Magento), который включает только в код, которые изменяют файлы основного кода Magento CE 1.7.0.2. Нормальным образом он включает в себя нерелевантные кусочки дополнительных комментариев и скорректированное форматирование, а также соответствующие изменения кода. Создание этого необходимого вручную изменяя исходный патч, чтобы применить его, используя предоставленный патч, применяющий инструмент, затем используя GIT для генерации патча на основе приложенных изменений.
Файл патча, который я создал, можно загрузить из этой сутки: https://gist.github.com/davidalger/5938568
Чтобы применить патч, сначала CD в корне установки Magento и запустите следующую команду: patch -p1 -i ./Magento_CE_1.7.0.2_v1-CSRF_Patch.diff
EE -специфический патч включал проверку проверки ключей формы на контроллеры для предприятий, изменения файлов для корпоративных/по умолчанию и шаблонов Enterprise/iPhone, чтобы включить ключи форм в формы, используемые для действий исправленного контроллера, и дополнительную полную страничную кеш Проходящие ключи формы вперед и назад на кэшированных страницах.
Отказ от ответственности: Я не тестировал ни патч EE, предоставленный Magento, ни патч, который я загрузил в связанную суть. Патч, указанный в указанной сути, предоставляется без гарантии и может или не может полностью разрешить уязвимости, упомянутые в примечаниях CE 1.8. Как непроверенный патч, также нет никакой гарантии, что он функционирует полностью или частично. Т.е. используйте по вашему собственному риску, и примите должную осмотрительность, чтобы проверить, прежде чем развернуть в производственной среде. Если вы найдете проблемы с патчем, дайте мне знать, и я обновлю это.
Другие советы
Я не уверен на 100%, потому что не смог воспроизвести проблему, но
это означает самозванца больше не могу выдать себя за вновь зарегистрированного клиента
означает, что до сих пор «самозванец» может выдать себя за вновь зарегистрированного клиента.
Я надеюсь, что это просто «семантика», но я думаю, что это означает, что вы боитесь, это означает.
