Hackeando uma loja Magento em segundos
Desenvolvimento, Desenvolvimento, Gerenciar minha loja, Gerenciar minha loja, Magento 1, Magento 2, Para Magenteiros
Publicado em 25 de fevereiro de 2020
Você precisava de um bom motivo para manter sua loja Magento atualizada?
Para quem não se preocupa com atualizações de segurança, falar sobre isso é como alertar o fumante que cigarro pode causar câncer no pulmão, impotência, e tantas outras coisas. O arrependimento só bate quando o problema aparece.
Mesmo assim, vou tentar fazer isso se parecer com as fotos dos maços de cigarro, só que aplicadas no mundo Magento.
Atualizações e segurança
Nos últimos 12 meses mais de 80 falhas de segurança foram corrigidas pela Magento através de atualizações e patches específicos. Hoje falarei de uma dessas falhas.
Apenas uma delas…
CVE-2019-7139, também conhecida como PRODSECBUG-2198, aborda uma falha de injeção de SQL que afeta várias versões do Magento. A falha foi descoberta por Charles Fol, um pesquisador de segurança da Ambionics.
As versões afetadas são:
- Magento Open Source <= 1.9.4.0
- Magento Commerce <= 1.14.4.0
- Magento 2.1 <= 2.1.16
- Magento 2.2 <= 2.2.7
- Magento 2.3.0
No entanto, não consegui explorar a falha em versões 1.x do Magento em meu ambiente.
Roubando a sessão
A falha em questão permite que um atacante use injeção de SQL para varrer a tabela admin_user_session
e obter o session_id
de um administrador logado.
No vídeo abaixo mostro na prática como consegui roubar a sessão de um administrador em uma loja Magento 2.2.4 instalada em meu ambiente local.
Não precisa ser hacker
A maioria dos ataques são feitos por robôs, ou por pessoas com algum conhecimento técnico, usando scripts fornecidos por quem descobre tais vulnerabilidades. Os scripts – também conhecidos como exploits – tem como finalidade testar e demonstrar a vulnerabilidade, a fim de que ela seja corrigida.
Obviamente e infelizmente, nem sempre estes scripts são usados desta forma.
Linha do tempo (neste caso)
O erro em questão foi reportado para a Magento em Novembro de 2018 através de uma plataforma de recompensas (Bugcrowd). A Magento recompensou os pesquisadores pela descoberta e publicou o release com a correção em Março de 2019.
Links úteis
- Como atualizar o Magento 1.x
- Como atualizar o Magento 2.x
- Patch para o PRODSECGUB-2198 mostrado aqui
- Patches de segurança para Magento 1.x
- Patches de segurança para Magento 2.x Open Source
- Como aplicar um patch de segurança no Magento 1.x
- Outras configurações de segurança do Magento são explicadas no curso Administração de Lojas Magento 2
- PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
- Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
- Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023
Deixe seu comentário
[fbcomments url="https://www.magenteiro.com/blog/para-magenteiros/hackear-loja-magento/"]