黑客又来了!电商系统Magento被植入恶意代码

雨果网作者:雨果网
2015-06-29 16:09:01

Magento是一套专业开源的电子商务系统,被众多电商网站广泛使用,在全球范围内使用者超过24万,包括eBay,是广受赞誉的全球最优秀的电子商务系统。但最近,安全研究人员发现有黑客在Magento平台植入恶意代码来窃取信用卡数据。雨果网获悉,安全公司Sucuri研究者表示,攻击

黑客又来了!电商系统Magento被植入恶意代码黑客又来了!电商系统Magento被植入恶意代码

Magento是一套专业开源的电子商务系统,被众多电商网站广泛使用,在全球范围内使用者超过24万,包括eBay,是广受赞誉的全球最优秀的电子商务系统。但最近,安全研究人员发现有黑客在Magento平台植入恶意代码来窃取信用卡数据。

雨果网获悉,安全公司Sucuri研究者表示,攻击者能够收集到用户向Magento平台提交的所有数据,然后仔细过滤掉那些不像信用卡数据的信息。

Sucuri恶意软件高级研究员Peter Gramantik表示,攻击者将恶意代码注入到Magento中,但具体流程还不清楚。攻击者们似乎在利用Magento核心或者是某个广泛使用的模块/插件中的漏洞。

攻击者能够收集所有的POST请求,对它们进行分析,然后使用公钥加密他们。如果POST参数符合要求,攻击者就会把他们储存下来。

窃取来的信用卡数据则保存在一个假的图片文件夹里。这些图片并不能显示,用户也无法下载。但是攻击者可以下载并解密,然后获悉Magento商务平台上的所有支付信息。

Sucuri还发现了另一种从Magento窃取数据的方法,没有上一种复杂,当然效果也要打折扣。攻击者将恶意代码样本注入到Magento的结帐模块中。这段恶意代码显示,信用卡数据在交易之前就已经被搜集,然后以纯文本形式被发送给攻击者。

这些攻击者似乎非常了解Magento的工作模式。“攻击者熟悉模块运行的方式和代码,利用模块中储存的未经保护的敏感数据窃取信息。”(编译/雨果网 唐小玉 译审 何志勇)

本文被以下果园收录
查看更多
eBay
跨境社区
绿色开店通道,大咖传授技巧;淡季做成旺季,秘诀都在这里。绿色开店通道,大咖传授技巧;淡季做成旺季,秘诀都在这里。
进入果园

0 条评论

0 收藏

分享到:

跨境电商独立站
相关专题
跨境电商独立站
面对流量瓶颈和平台成本的居高不下,不少跨境电商卖家转型做独立站!那么怎么运营自建站呢?其实做好独立站没你想的那么难!!
相关内容
订阅每周精选
热门文章
最新文章
©2013 雨果网 闽ICP备11004599号-1
意见反馈
联系信息:
反馈问题:
问题详情:
我要爆料
联系信息:
爆料详情:
微信公众号
扫描下方二维码或者搜索微信公众号名称,获取最新最全内容
雨果网
雨果网
跨境进口
跨境进口
雨课
雨课
CCEE优品全球
CCEE优品全球
微信小程序
扫描下方二维码或者搜索微信小程序名称,获取最新最全内容
雨果网小程序
雨果网小程序
雨课小程序
雨课小程序
CCEE小程序
CCEE小程序

我要爆料

下载App

意见反馈

返回顶部

X
请正确填写手机号码或邮箱!
请输入内容
发送

扫描二维码
下载雨果网APP