**已关闭。**此问题是not about programming or software development。目前不接受回答。
此问题似乎与a specific programming problem, a software algorithm, or software tools primarily used by programmers无关。如果您认为此问题与another Stack Exchange site的主题相关,可以发表评论,说明在何处可以回答此问题。
18天前关门了。
Improve this question的
我们最近得到了一些Magento 2项目 hacked.不知道他们是怎么做的(我想这是一些SQL注入),但攻击者包括一些外部JS调用使用此代码,其中XXX是编码的url的一些部分
new Function(atob(XXX))()字符串
这是一个Adobe Commerce 2.4.5-p1(是的,这不是最新版本,但我想它足够现代,应该可以防止SQL注入)
我不能理解的一点是:Magento 2理论上控制哪些外部资源应该加载或不使用CSP白名单文件
如果一些外部资源不包括在那里,那么它不应该加载&浏览器显示警告/错误消息“内容安全策略:该页面的设置观察到资源加载XXX”
在这种情况下,我们可以在浏览器控制台中看到违规脚本的消息(因此我们可以理解它没有被加载),但即使如此,恶意代码也被应用到网页上
另一个棘手的问题是,这种情况只发生在Windows电脑上,即使使用现代版本的谷歌Chrome浏览器也是如此
我错过了什么?
1条答案
按热度按时间von4xj4u1#
从理论上讲,任何软件在任何时候都可能受到一个或多个漏洞的攻击,这是您或软件开发人员所不知道的,这就是“0天漏洞”的本质。
您的Adobe Commerce版本)具有four listed vulnerabilities,无论这些是否可能是您的情况的原因,我认为您需要自己确定。
您声称Adobe Commerce 2.5.1-P1是 * 现代化的 *,可以防止SQL注入,虽然它可能在这方面做了很多努力,但没有理由假设任何软件的任何版本都可以防止所有漏洞,这就是为什么安全更新是一场持续的战斗,修补是许多组织的优先事项。
同样,Chrome处理CSP的方式可能有自己的漏洞,允许攻击者链接外部内容。希望其他人能提出可能的原因。