ebay旗下电商平台magento go越权管理任意店铺

2014-04-04 +6 125322人围观 ,发现 4 个不明物体 漏洞

magento go是ebay旗下的一个电商平台,有超过200000活跃店铺。利用该越权漏洞,仅仅使用一个HTTP请求就可以给任意店铺添加管理员账号,从而实现免费购物的梦想。目前该漏洞已经修复。

首先创建两个测试店铺,其中一家店铺https://targetaccount.gostorego.com/的账号信息如下图所示。

在另外一个浏览器会话中,使用管理员账号mlitchfield73登陆第一家测试店铺,https://securatary.gostorego.com/。在账号管理中添加账号,并给予管理员权限。

下面就是见证奇迹的时刻,我们要把在securatary.gostorego.com店铺中添加的管理员账号变到targetaaccount.gostorego.com店铺中。

原始请求。

修改HOST字段为我们的攻击目标网店,这个案例中是targetaccount.gostorego.com。

服务器返回302跳转信息。

页面跳转到http://targetaccount.gostorego.com/的登陆页面 。现在我们就可以使用刚刚添加的账号登陆了。

可以看到我们的用户身份是http://targetaccount.gostorego.com的管理员。

现在使用targetaccount店铺原先的创始人账号gbamforth登陆,可以看到我们的管理员账号已经成功添加了。

Magento还支持用户对自己的店铺绑定域名。这次漏洞对绑定自己域名的用户也是有效的。

如果该域名不存在,返回的信息如下。

对于这次攻击我还提出了一种隐身模式。使用上述的攻击方法,我们可以使用自己创建的管理员账号登陆。之后我们的一些操作也都会被记录下来。使用隐蔽模式,我们修改商品价格,发放购物卡等等操作都会“模拟”成原店铺的创始人的操作,这样看起来就不会很可疑了。(原作者没有详细介绍所谓的隐身模式,个人觉得可能是在修改商品的时候同样存在这种方式的越权)

via http://www.securatary.com  翻译整理by  litdg@freebuf  

发表评论

已有 4 条评论

取消
Loading...
css.php