Уязвимости в CMS Magento привлекли к сайту хакеров, курсы повышения квалификации по защите информации Москва

Уязвимости в CMS Magento привлекли к сайту хакеров, курсы повышения квалификации по защите информации Москва

Статьи

Аналитики из компании RIPS Technologies обнародовали сведения о ряде уязвимостей популярного сайта CMS Magento. По всей видимости, ими уже успели воспользоваться хакеры. Многие курсы повышения квалификации по защите информации Москва рассказывают о том, как злоумышленники стремятся воспользоваться каждой уязвимостью, которую находят.

Как атаковали сайт, курсы повышения квалификации по защите информации Москва

В результате, чтобы совершить атаку на сайт, злоумышленники воспользовались stored XSS-багом. Судя по всему, с его помощью они внедрили JavaScript  непосредственно в бэкэнд магазина. Затем они делали следующее:

  • перехватывали сессии сотрудников портала;
  • использовали полученные привилегии для эксплуатации RCE;
  • получали полный контроль над магазином.

То есть с помощью этих методов хакеры смогли перенаправлять деньги. Судя по всему, за покупки непосредственно на свои банковские счета. По всей видимости, хакеры успешно прошли курсы аудит информационной безопасности Москва, но воспользовались полученными знаниями для причинения вреда другим людям.

Почему удались атаки

Все это оказалось возможным потому, что в магазине находился встроенный модуль для оплаты — Authorize.Net. Основной его недостаток заключается в имплементации этого решения при обработке поступающих платежей. Каждый специалист по информационной безопасности курсы Москва может с уверенностью сказать, что лучше всего использовать только надежные и проверенные годами платежные системы.

Уязвимости в магазине Magento были обнаружены еще год назад. С тех пор разработчики портала несколько раз обновляли сайт, но так и не смогли устранить все уязвимости. Специалисты обнаруживают все новые и новые проблемы. К тому же, последние из них были найдены в январе этого года. Сейчас пользователям рекомендуется не оплачивать товары в магазине Magento. Ведь все курсы для руководителей по информационной безопасности Москва напоминают о том, как важно не попадаться на уловки хакеров.

Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.