查看: 146639|回复: 524

Shopify贸易平台面临RFD攻击,且未修复

[复制链接]
  • TA的每日心情

    2024-10-23 14:35
  • 签到天数: 917 天

    [LV.10]以坛为家III

    发表于 2015-10-1 08:26:27 | 显示全部楼层 |阅读模式

    WebSegura的研究员David Sopas发现了一个反射型文件名下载(RFD)漏洞,该漏洞存在于流行的多渠道贸易平台Shopify中,虽然他已经向Shopify公司发送了安全报告,但似乎该公司并未发现该漏洞的重要性。

    漏洞详情

    Shopify是一个多渠道的贸易平台,它帮助人们进行网上销售、实体店销售,以及二者的结合销售。WebSegura的著名安全研究员Davis Sopas在Shopify的服务中发现了一个反射型的文件名下载漏洞。Sopas已经向Shopify发送了一份安全报告,报告中解释说该漏洞不需要任何身份验证(如:访问令牌、API键,甚至Shopify账号)。

    反射型文件名下载漏洞影响app.shopify.com服务。专家解释说,在IE9和IE8浏览器中浏览以下链接,它将显示一个下载对话框,并提供一个名为track.bat的文件。如果用户运行了这个批处理文件,它将运行谷歌Chrome浏览器,并打开一个恶意Web网页,在这个特别的案例中,商店只是显示一些文本信息,但是很明显恶意攻击者能够利用它进行恶意活动。

    Sopas发现,针对其他浏览器如Chrome、Opera、Firefox、安卓浏览器以及安卓版本的Chrome最新浏览器,用户需要访问一个网页,该网页通过使用HTML5的<A  DOWNLOAD>属性强制进行下载:

    Sopas在一篇博文中陈述道:

    “当受害者访问一个专门制作的包含上述代码的页面时,如果受害者点击了图像,那么它将显示一个下载对话框,在下载完成之后,它将提示该文件来自Shopify服务器。”
    这个反射型文件名下载攻击非常隐蔽,因为受害者通常不会觉得他们已经成为黑客的攻击目标,并且他们收到的恶意文件似乎是由可信的源头提供下载,在本例中就是Shopify网站。


    能够恢复的一个可能攻击场景如下:

    1、攻击者向受害者发送一个链接,该链接中似乎含有CSRF或XSS(网络钓鱼活动、社交网站、即时消息、邮件等等)。
    2、受害者点击链接,因为他们相信Shopify作为下载源的安全性,然后下载文件。
    3、一旦文件被执行,那么受害者将被劫持。
    Sopas批评了Shopify公司处理该漏洞的方式,他觉得Shopify公司低估了安全问题,这一点可以通过Sopas发布的时间线来看出。

    漏洞时间线

    2015-03-19 将这个安全问题报告给Shopify。
    2015-03-27 没有回复,所以我要求更新。
    2015-04-06 第一次接触Shopify,他们回复正在处理。
    2015-04-15 Shopify告诉我,这是一个有趣的安全问题,并要求更多的信息。
    2015-04-15 我发送更多的信息和POC。
    2015-05-04 我要求更新(没有回复)。
    2015-06-15 我要求另一个更新(没有回复)。
    2015-09-16 我要求另一个更新。
    2015-09-22 从4月份以来,没有收到Shopify的任何邮件,他们回复说正在忙于修复更加紧迫的问题,并认为我提的这个问题影响较小、优先级较低。
    2015-09-23 我告诉他们这不是一个社会工程学问题,但他们还是不明白。
    2015-09-23 Shopify告诉我,他们的优先级还没到讨论,并且不会马上修补该漏洞。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-10-2 06:01:15 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-3 03:24:15 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-3 22:27:13 | 显示全部楼层
    感谢楼主的分享~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-5 08:56:59 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-6 18:08:01 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-7 05:35:06 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-7 09:56:07 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-11 19:24:00 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-12 06:05:19 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-15 01:34 , Processed in 0.028663 second(s), 14 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部