來源
iThome新聞
內容
資安業者Sansec提出警告,他們看到有人使用新型態的手法,於資料庫裡加入偽造的版面(Layout )範本,從而在Magento電子商城自動注入惡意程式,以便持續對受害網站發動攻擊。
研究人員指出,攻擊者同時濫用Magento的版面解析器與beberlei/assert套件,從而能夠於伺服器上執行系統層級的命令。由於版面區塊與結帳車功能相連,因此只要收到<store>/checkout/cart的請求,就會觸發攻擊者的命令。他們看到攻擊者使用sed命令,於CMS控制器自動加入後門程式並執行。