Skocz do treści

Kategoria: Ostrzeżenia i akcje informacyjne

SQLi w Magento

Na blogu Ambionics Security opublikowane zostały dziś szczegóły podatności w silniku Magento umożliwiające wykonanie ataku Blind SQL Injection mogącego zakończyć się pobraniem zawartości bazy danych. Magento to silnik eCommerce, na którym działa ponad 200 tysięcy sklepów internetowych. Atak nie wymaga uwierzytelnienia. Błąd zawarty jest w obsłudze zapytań za pomocą biblioteki MySQL PDO (Magento może też pracować używając MySQLi) zarówno w wersjach komercyjnych jak i Community Edition. Pomimo tego, że udało się wykorzystać lukę poprzez funkcjonalność dostępną od wersji 2.2.0, błąd występuje także w wcześniejszych wersjach. Masz Magento? Łataj szybko. Aktualizacja łatająca tą i kilka innych luk dostępna jest na stronie…

Otwarty ElasticSearch www.gearbest.com

Na Sekurak.pl pojawiło się kilka smaczków odnośnie ogłoszonego przez badacza bezpieczeństwa nazwiskiem Noam Rotem z grupy VPNMentor wycieku danych klientów sklepu www.gearbest.com. Po raz kolejny źródłem wycieku jest niezabezpieczona a jednocześnie publicznie dostępna dokumentowa baza danych. Hasła? Są, w czystym tekście. Okazuje się, że hasła klientów przechowywane są w bazie czystym tekstem. Są tam również konta założone na adresy e-mail w domenach .pl. Kupowałem na GearBest.Com, co teraz? Jeśli jesteś klientem GearBest.com jak najszybciej zmień swoje hasło na sklepie. Jeśli co gorsze używasz tego samego (lub podobnego) hasła w innych miejscach jak najszybciej pozmieniaj i te hasła. Baza wisiała w…

Nowy OWASP ASVS

Na stronie projektu OWASP można pobrać nowy standard weryfikacji bezpieczeństwa aplikacji – ASVS 4.0.1 OWASP ASVS ma postać wymagań zebranych w grupy, na podstawie których można zmierzyć obiektywny poziom bezpieczeństwa aplikacji webowej w zależności od wrażliwości danych, które są przetwarzane w aplikacji. Standard wyróżnia trzy poziomy wrażliwości : Poziom pierwszy (Level 1) – niski poziom zapewnienia bezpieczeństwa danych Poziom drugi (Level 2) – aplikacje przetwarzające dane wymagające ochrony (kwalifikują się tu na przykład dane osobowe, zamówienia sklepów internetowych, itd) Poziom trzeci (Level 3) – aplikacje przetwarzające dane wymagające największej ochrony: transakcje wysokiej wartości, dane wrażliwe (na przykład medyczne) Grupy wymagań…