Bug XSS Cross-Site Scripting

gafulis

Miembro
Hola,

Alguien sabe algo de la vulnerabilidad XSS Cross-Site Scripting?
tengo todos los prches de seguridad de Magento instalados pero tengo una vulnerabilidad en la pagina cataloguesearch?
Alguien sabe algo hacerca de esto? Le ha pasado a alguien?
Sabeis si magento da soporte?

Gracias...
 

Muyayo

Nuevo usuario
En los ataques XSS pueden verse implicados otros elementos de Magento, como es la plantilla que estés utilizando.
Te pongo un ejemplo muy sencillo. Con jQuery se abusa mucho de $.html(), y gracias a ello se puede insertar código facilmente.
Claro está que depende de como esté construido el resto, pero si te importa la seguridad es algo que no deberías pasar por alto.

Por otra parte te dejo un link para qu compruebes si tienes instalados los últimos parches:
https://templates-master.com/supeechecker

No hagas esta prueba con otras páginas que no tengan HTTPS por si acaso.
Un saludo.
 

gafulis

Miembro
Gracias Muyayo, pero mi duda es... si tienes una vulnerabilidad XSS por elementos de la plantilla, en mi caso por el catalogsearch, al instalar los parches de seguridad de magento, esa amenaza desaparece?

He probado el supeechecker y estan los parches ok:

  • Store is secure. (The patch 5344 is applied)
  • Store is secure. (The patch 5994 is applied)
  • Store is secure. (The patch 6285 is applied)
 

Muyayo

Nuevo usuario
Hola de nuevo.
Aplicando los parches no se solucionan posibles problemas que tengas en la plantilla.
Magento puede prevenir que se inyecte código por algún bug conocido en su código original, pero depende de como se haya construido
la plantilla personalizada puede haber o no riesgo.
Por catalogsearch estaría tranquilo ya que no inserta directamente ningún tipo de dato en la base de datos (la consulta no se almacena
por la acción del usuario).

De todas formas estaría bien que alguien que tuviera algo de experiencia en ataques XSS se manifestara :)
Un saludo.
 

Dodok

Nuevo usuario
En los ataques XSS pueden verse implicados otros elementos de Magento, como es la plantilla que estés utilizando.
Te pongo un ejemplo muy sencillo. Con jQuery se abusa mucho de $.html(), y gracias a ello se puede insertar código facilmente.
Claro está que depende de como esté construido el resto, pero si te importa la seguridad es algo que no deberías pasar por alto.

Por otra parte te dejo un link para qu compruebes si tienes instalados los últimos parches:
https://templates-master.com/ horóscopo gratis

No hagas esta prueba con otras páginas que no tengan HTTPS por si acaso.
Un saludo.
perfecto muchas gracias ahora lo reviso
 
Última edición:
Arriba