Bug XSS Cross-Site Scripting

Tema en 'Soporte General' iniciado por gafulis, 27/7/15.

  1. gafulis

    gafulis Miembro

    33
    2
    8
    Hola,

    Alguien sabe algo de la vulnerabilidad XSS Cross-Site Scripting?
    tengo todos los prches de seguridad de Magento instalados pero tengo una vulnerabilidad en la pagina cataloguesearch?
    Alguien sabe algo hacerca de esto? Le ha pasado a alguien?
    Sabeis si magento da soporte?

    Gracias...
     
  2.  
    Comunidad Magento orgullosamente patrocinada por el hosting y vps magento de FactoriaDigital.com.
  3. Muyayo

    Muyayo Nuevo usuario

    17
    3
    3
    En los ataques XSS pueden verse implicados otros elementos de Magento, como es la plantilla que estés utilizando.
    Te pongo un ejemplo muy sencillo. Con jQuery se abusa mucho de $.html(), y gracias a ello se puede insertar código facilmente.
    Claro está que depende de como esté construido el resto, pero si te importa la seguridad es algo que no deberías pasar por alto.

    Por otra parte te dejo un link para qu compruebes si tienes instalados los últimos parches:
    https://templates-master.com/supeechecker

    No hagas esta prueba con otras páginas que no tengan HTTPS por si acaso.
    Un saludo.
     
    A gafulis le gusta esto.
  4. gafulis

    gafulis Miembro

    33
    2
    8
    Gracias Muyayo, pero mi duda es... si tienes una vulnerabilidad XSS por elementos de la plantilla, en mi caso por el catalogsearch, al instalar los parches de seguridad de magento, esa amenaza desaparece?

    He probado el supeechecker y estan los parches ok:

    • Store is secure. (The patch 5344 is applied)
    • Store is secure. (The patch 5994 is applied)
    • Store is secure. (The patch 6285 is applied)
     
  5. Muyayo

    Muyayo Nuevo usuario

    17
    3
    3
    Hola de nuevo.
    Aplicando los parches no se solucionan posibles problemas que tengas en la plantilla.
    Magento puede prevenir que se inyecte código por algún bug conocido en su código original, pero depende de como se haya construido
    la plantilla personalizada puede haber o no riesgo.
    Por catalogsearch estaría tranquilo ya que no inserta directamente ningún tipo de dato en la base de datos (la consulta no se almacena
    por la acción del usuario).

    De todas formas estaría bien que alguien que tuviera algo de experiencia en ataques XSS se manifestara :)
    Un saludo.
     
  6. Dodok

    Dodok Nuevo usuario

    6
    1
    1
    perfecto muchas gracias ahora lo reviso
     
    Última edición: 13/10/15

Compartir esta página

Cargando...