„OpenCart“ saugumo spragos: kaip programišiai paverčia jūsų krepšelį duomenų vagystės įrankiu

Pastaruoju metu „OpenCart“ (ypač 3.0.x versijų) naudotojai susiduria su itin pažangiomis „Magecart“ tipo atakomis. Programišiai į krepšelio puslapį įterpia kenkėjišką kodą, kuris imituoja PayPal kortelių skaitytuvų veikimą ir slapta vagia pirkėjų duomenis. Patirtis rodo, kad dažniausiai infekcija prasideda per nesaugius, neoficialius arba pasenusius šablonus bei įskiepius, turinčius spragas failuose. Kenkėjiškas kodas gudriai slepiamas retai tikrinamuose JavaScript failuose (pvz., jquery.countdown.min.js ar slider.js), o serveryje paliekami „backdoor“ failai (pvz., su eval() funkcija ar $_POST, $_GET žyma su ilgu kintamuose), užtikrinantys programišiams grįžimą į svetainę išvalius tik skaitytuvo kodą, o ne visus failus.

Norėdami užkardyti šias atakas, savininkai privalo ne tik išvalyti užkrėstus failus, bet ir apriboti „image“ katalogo teises (uždraudžiant PHP vykdymą per .htaccess) nes ten dažniausiai slypi kenkėjiški failai, bei išvalyti duomenų bazės Modifications skiltį. Jei pašalinus kodą problema po kurio laiko atsinaujina, vadinasi, sistemos širdyje (pvz., system/config.php ar index.php . Tačiau reiktų tikrinti visus failus) liko nepastebėta kodo eilutė, leidžianti botams automatiškai perrašyti failus ir taip sugrįžti į pradinę padėtį t.y. vogti duomenis. Tik pilnas sisteminių slaptažodžių pakeitimas ir nuolatinė failų vientisumo kontrolė gali užtikrinti, kad pirkėjų kortelių duomenys išliks saugūs.

Jeigu neturite programuotojų ar įmonės kuri prižiūri Jūsų OpenCart svetainę, mes galime Jums padėti.