Lỗ hổng bảo mật trên các website thương mại điện tử

Các chuyên gia nghiên cứu đã cảnh báo nền tảng Magento được sử dụng hầu hết cho các website thương mại điện tử đang bị ảnh hưởng bởi một lỗ hổng rất nghiêm trọng. Lỗ hổng này có thể bị khai thác từ các website TMĐT nhằm chiếm đoạt các cửa hàng mua sắm trực tuyến.

Theo SecurityBox được biết có tới 250.000 những nhà kinh doanh đang sử dụng nền tảng Magento. Cụ thể, Lỗ hổng này đã được nhóm DenfenseCode tìm thấy và báo cáo vào tháng 11 năm ngoái và họ đã gửi nội dung tới Magento trong chương trình sửa lỗi bug bash trên Bugcrowd của công ty. Sau 1 thời gian DenfenseCode thông báo tới nhà phát hành Magento nhưng họ vẫn chưa giải quyết vấn đề này và nhóm đã quyết định để thông tin công khai.

thuongmaidientu1jqsu_large.png

website thương mại điện tử đang là mục tiêu các hacker ngắm đến năm 2019

Được biết, Sự tổn thương của Magento được liên kết với 1 tính năng cho phép người dùng thêm nội dung video Vimeo vào sản phẩm hiện có. Khi một video được thêm, Magento sẽ tự động lấy lại một hình ảnh xem trước qua lệnh truy vấn POST.

Như bạn biết đấy, phương pháp POST và GET cho phép tin tặc có thể tấn công qua CSRF và sau đó tải lên 1 tệp tùy ý. Mặc dù tệp hình ảnh không hợp lệ , tệp tin vẫn được lưu trên máy chủ trước khi nó được xác thực. Từ vị trí của tệp này, các hacker có thể tải lên 1 tập lệnh PHP chứa mã độc tới máy chủ, và nếu để  tấn công từ xa, chúng phải dùng tệp .htaccess lên cùng một thư mục.

Để tấn công, hacker phải điều hướng người dùng truy cập vào bảng điều khiển của cửa hàng, sau đó dụ người dùng truy cập vào trang web đặc biệt gây ra các cuộc tấn công CSRF.

Các chuyên gia đã cảnh báo rằng, hacker có thể lợi dụng lỗ hổng này để tấn công, khai thác và kiểm soát toàn bộ hệ thống website thương mại điện tử. Vì thế, để bảo mật website e-commerce, bạn cần phải rà soát lại tất cả các lỗ hổng ngay. Hoặc bạn có thể liên hệ với Công ty bảo mật website SecurityBox để được hỗ trợ rà quét và bảo mật toàn diện.

Xua tan mối nguy mất dữ liệu cho doanh nghiệp với EXA Backup

Là dịch vụ backup trên cloud hàng đầu tại Việt Nam, EXA Backup tự động thông báo, cảnh báo qua email khi sao lưu/ khôi phục thành công/ thất bại, cho phép lưu trữ không giới hạn dung lượng cũng như số phiên bản của dữ liệu, an toàn ngay cả khi dữ liệu trên server bị hỏng.

EXA Backup không giới hạn tốc độ khi sao lưu, khôi phục dữ liệu giúp giảm tối đa thời gian gián đoạn dịch vụ. Và một điểm cộng lớn là không tốn chi phí đầu tư ban đầu, chi phí vận hành và đặc biệt không chịu rủi ro công nghệ.

>> Miễn phí 30 ngày dùng thử dịch vụ EXA Backup - sao lưu và khôi phục dữ liệu kết hợp phòng chống Ransomware, đăng ký ngay tại: https://exa.vn/backup.php 

EXA Cloud

Địa chỉ: Up Co-working Space - 268 Lý Thường Kiệt, phường 14, quận 10, TP. HCM

Hotline: 0938 298 278 hoặc 0911 385 775

Email: sales@exa.vn

Website: http://exa.vn/


Bình luận

Powered by WHMCompleteSolution