Magento是一套专业开源的电子商务系统,被众多电商网站广泛使用,在全球范围内使用者超过24万,包括eBay,是广受赞誉的全球最优秀的电子商务系统。但最近,安全研究人员发现有黑客在Magento平台植入恶意代码来窃取信用卡数据。
雨果网获悉,安全公司Sucuri研究者表示,攻击者能够收集到用户向Magento平台提交的所有数据,然后仔细过滤掉那些不像信用卡数据的信息。
Sucuri恶意软件高级研究员Peter Gramantik表示,攻击者将恶意代码注入到Magento中,但具体流程还不清楚。攻击者们似乎在利用Magento核心或者是某个广泛使用的模块/插件中的漏洞。
攻击者能够收集所有的POST请求,对它们进行分析,然后使用公钥加密他们。如果POST参数符合要求,攻击者就会把他们储存下来。
窃取来的信用卡数据则保存在一个假的图片文件夹里。这些图片并不能显示,用户也无法下载。但是攻击者可以下载并解密,然后获悉Magento商务平台上的所有支付信息。
Sucuri还发现了另一种从Magento窃取数据的方法,没有上一种复杂,当然效果也要打折扣。攻击者将恶意代码样本注入到Magento的结帐模块中。这段恶意代码显示,信用卡数据在交易之前就已经被搜集,然后以纯文本形式被发送给攻击者。
这些攻击者似乎非常了解Magento的工作模式。“攻击者熟悉模块运行的方式和代码,利用模块中储存的未经保护的敏感数据窃取信息。”(编译/雨果网 唐小玉 译审 何志勇)
相关推荐: 小米关联公司投资深圳大族精密传动科技公司小米关联公司投资深圳大族精密传动科技公司
3月27日消息,天眼查信息显示,近日,深圳市大族精密传动科技有限公司发生工商变更,注册资本由12975.1492 人民币增至14272.6709 人民币,增幅约10%; 新增北京小米智造股权投资基金合伙企业(有限合伙)、湖北小米长江产业基金合伙企业(有限合伙)…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
