诚创科技
   网站地图 | 联系我们 | english                           免费咨询热线:4006-770-660

不管黑猫白猫,能监管上网就是e猫      

    首页     产品介绍     程序下载     产品购买     技术服务     反馈沟通     关于我们

新闻聚焦
重要公告
最新客户
市场活动
新闻公告
经验交流
诚征代理


  您现在的位置:首页 -> 新闻公告

黑客又来了电商系统Magento被植入恶意代码

2015-6-30 来源:LaneCat网猫原创 严禁转载

局域网管理软件下载 | 网络监控软件下载 | 上网行为管理软件下载

诚创科技讯 Magento是一套专业开源的电子商务系统,被众多电商网站广泛使用,在全球范围内使用者超过24万,包括eBay,是广受赞誉的全球最优秀的电子商务系统。但最近,安全研究人员发现有黑客在Magento平台植入恶意代码来窃取信用卡数据。

安全公司Sucuri研究者表示,攻击者能够收集到用户向Magento平台提交的所有数据,然后仔细过滤掉那些不像信用卡数据的信息。

Sucuri恶意软件高级研究员PeterGramantik表示,攻击者将恶意代码注入到Magento中,但具体流程还不清楚。攻击者们似乎在利用Magento核心或者是某个广泛使用的模块/插件中的漏洞。

攻击者能够收集所有的POST请求,对它们进行分析,然后使用公钥加密他们。如果POST参数符合要求,攻击者就会把他们储存下来。

窃取来的信用卡数据则保存在一个假的图片文件夹里。这些图片并不能显示,用户也无法下载。但是攻击者可以下载并解密,然后获悉Magento商务平台上的所有支付信息。

Sucuri还发现了另一种从Magento窃取数据的方法,没有上一种复杂,当然效果也要打折扣。攻击者将恶意代码样本注入到Magento的结帐模块中。这段恶意代码显示,信用卡数据在交易之前就已经被搜集,然后以纯文本形式被发送给攻击者。

这些攻击者似乎非常了解Magento的工作模式。"攻击者熟悉模块运行的方式和代码,利用模块中储存的未经保护的敏感数据窃取信息。"


---------------------------------------------------------------------------------------------------------------

上一篇:黑客窃取企业机密电邮美证监局开展调查

下一篇:美网络监听活动所用间谍系统曝光:服务器遍布世界


版权所有:厦门诚创科技有限公司 Copyright © 2003-2014
若有意见和建议,请您E-mail:网站管理员
闽ICP备05004597号