Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Kritisch lek Magento door XSS-bug

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 1 februari 2016 08:00 uur

Hosters die webshops op hun servers draaien op basis van Magento, doen er goed aan hun klanten te informeren over een securitypatch. Vrijwel alle versies van het e-commerceplatform zijn kwetsbaar in het registratieformulier voor klanten van de shop. Door middel van een XSS (cross site scripting)-bug kunnen hackers de site overnemen en zelfs de server waarop de site draait.

Volgens Sucuri gaat het om vrijwel alle versies tot aan de huidige 1.9.2.3 Community Edition en 1.14.2.3 Enterprise Edition. Via het lek is het mogelijk om met relatief eenvoudige JavaScript-code toe te voegen aan de klantregistratieformulieren die in de bibliotheek van Magento zitten. Magento voert deze scripts uit als administrator, waarna het voor hackers mogelijk is om bijvoorbeeld nieuwe administratoraccounts aan te maken met alle rechten die een admin zou hebben binnen de site én de server. Volgens Magento zelf is dit echter niet mogelijk als de klanten gebruikmaken van een Web Application Firewall (WAF). Een WAF monitort en filtert het verkeer richting de applicatie door alle HTML, http(s) en XML-pakketten te inspecteren.

Hoewel Magento de bug als ‘kritisch’ heeft aangemerkt, stelt de organisatie dat de bug afhankelijk is van de PayFlow Pro-betalingsmodule. Het merendeel van de Magento-klanten gebruikt deze module niet, aldus Magento. Er zijn ook geen aanvallen bekend waarbij van het lek gebruik is gemaakt.
Toch zal XSS een steeds meer voorkomend ‘probleem’ gaan vormen, stelt ook Radware in haar jaarlijkse Global Application and Network Security Report. Radware stelt dat 2016 het jaar wordt waarin DDoS in impact plaats gaat maken voor APDoS – Advanced Persistent DoS, waarbij na een https-flood de applicatie zelf wordt aangevallen door middel van SQL-injectie en XSS. Dit type aanvallen is heel lastig te onderkennen en te bestrijden. Het is daarom meer dan ooit van belang dat applicatiecode op orde is en dat klanten op tijd patches inrollen.

ISPam.nl Job board

Suzanne, 1 februari 2016 2:42 pm

Het is inderdaad echt heel belangrijk dat zowel CE als EE gebruikers asap de patch SUPEE-7405 implementeren. Belangrijk voor klant, shopeigenaar en hoster. Gebruik daarna vooral ook de gratis site https://www.MageReport.com om te checken of je het goed hebt gedaan, want de implementatie gaat ondanks beste bedoelingen toch vaak fout!

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

SIDN halveert tarieven om .nl-domeinnaam uit quarantaine te halen
Jaap Urban: Waarom vraagt iedere provider dan nog steeds de hoofdprijs hiervoor?!?! Webreus: 45 euro

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Uitgelicht bedrijfsnieuws van 27 januari 2017
apkdld: Enjoy most recent number one popular android apps game on your phone and tablet, also be aware that ...

Heartbleed – of de noodzaak om als provider altijd te patchen
showbox alternative: Is showbox not working? Don’t be anxious we have included a list of best Showbox alternative for y...