Shopify贸易平台面临RFD攻击,且未修复
WebSegura的研究员David Sopas发现了一个反射型文件名下载(RFD)漏洞,该漏洞存在于流行的多渠道贸易平台Shopify中,虽然他已经向Shopify公司发送了安全报告,但似乎该公司并未发现该漏洞的重要性。
漏洞详情
Shopify是一个多渠道的贸易平台,它帮助人们进行网上销售、实体店销售,以及二者的结合销售。WebSegura的著名安全研究员Davis Sopas在Shopify的服务中发现了一个反射型的文件名下载漏洞。Sopas已经向Shopify发送了一份安全报告,报告中解释说该漏洞不需要任何身份验证(如:访问令牌、API键,甚至Shopify账号)。
反射型文件名下载漏洞影响app.shopify.com服务。专家解释说,在IE9和IE8浏览器中浏览以下链接,它将显示一个下载对话框,并提供一个名为track.bat的文件。如果用户运行了这个批处理文件,它将运行谷歌Chrome浏览器,并打开一个恶意Web网页,在这个特别的案例中,商店只是显示一些文本信息,但是很明显恶意攻击者能够利用它进行恶意活动。
Sopas发现,针对其他浏览器如Chrome、Opera、Firefox、安卓浏览器以及安卓版本的Chrome最新浏览器,用户需要访问一个网页,该网页通过使用HTML5的<ADOWNLOAD>属性强制进行下载:
Sopas在一篇博文中陈述道:
“当受害者访问一个专门制作的包含上述代码的页面时,如果受害者点击了图像,那么它将显示一个下载对话框,在下载完成之后,它将提示该文件来自Shopify服务器。”
这个反射型文件名下载攻击非常隐蔽,因为受害者通常不会觉得他们已经成为黑客的攻击目标,并且他们收到的恶意文件似乎是由可信的源头提供下载,在本例中就是Shopify网站。
能够恢复的一个可能攻击场景如下:
1、攻击者向受害者发送一个链接,该链接中似乎含有CSRF或XSS(网络钓鱼活动、社交网站、即时消息、邮件等等)。
2、受害者点击链接,因为他们相信Shopify作为下载源的安全性,然后下载文件。
3、一旦文件被执行,那么受害者将被劫持。
Sopas批评了Shopify公司处理该漏洞的方式,他觉得Shopify公司低估了安全问题,这一点可以通过Sopas发布的时间线来看出。
漏洞时间线
2015-03-19 将这个安全问题报告给Shopify。
2015-03-27 没有回复,所以我要求更新。
2015-04-06 第一次接触Shopify,他们回复正在处理。
2015-04-15 Shopify告诉我,这是一个有趣的安全问题,并要求更多的信息。
2015-04-15 我发送更多的信息和POC。
2015-05-04 我要求更新(没有回复)。
2015-06-15 我要求另一个更新(没有回复)。
2015-09-16 我要求另一个更新。
2015-09-22 从4月份以来,没有收到Shopify的任何邮件,他们回复说正在忙于修复更加紧迫的问题,并认为我提的这个问题影响较小、优先级较低。
2015-09-23 我告诉他们这不是一个社会工程学问题,但他们还是不明白。
2015-09-23 Shopify告诉我,他们的优先级还没到讨论,并且不会马上修补该漏洞。
支持中国红客联盟(ihonker.org) 支持,看起来不错呢! 支持,看起来不错呢! 学习学习技术,加油! 支持,看起来不错呢! 学习学习技术,加油! 支持中国红客联盟(ihonker.org) 学习学习技术,加油!