提问人:Raul Sanchez 提问时间:10/19/2023 更新时间:11/1/2023 访问量:117
浏览器真的会阻止外部内容吗?[关闭]
Do browsers really block external content? [closed]
问:
我们最近遇到了一些Magento2项目。还不知道他们是怎么做的(我想这是一些SQL注入),但攻击者使用此代码包含了一些外部JS调用,其中XXX是编码url的某些部分
new Function(atob(XXX))()
这是一个Adobe Commerce 2.4.5-p1(是的,这不是最新版本,但我想它已经足够现代,可以感觉到它应该被SQL注入所覆盖)
我无法理解的一点是:Magento2理论上控制哪些外部资源应该使用CSP白名单文件加载或不加载
如果某些外部资源未包含在那里,则不应加载,浏览器显示警告/错误消息“Content-Security-Policy:页面的设置观察到在XXX处加载资源”
在这种情况下,我们可以在浏览器控制台中看到违规脚本的消息(因此我们可以理解它没有被加载),但即便如此,恶意代码也被应用于网页
另一个棘手的问题是,这完全发生在 Windows 计算机中,即使使用现代版本的 Google Chrome 浏览器也是如此
我在这里错过了什么?
答:
0赞
Hugo
10/30/2023
#1
从理论上讲,任何软件都可能随时容易受到一个或多个漏洞的攻击,而您或软件开发人员都不知道,这就是“0-Day 漏洞”的本质。
您的Adobe Commerce版本)列出了四个漏洞,无论这些漏洞是否可能是您案例中的原因,我认为您需要自己确定。
您声称Adobe Commerce 2.5.1-P1足够现代,可以防止SQL注入,尽管它可能在该领域付出了很多努力,但没有理由假设任何软件的任何版本都可以免受所有漏洞的攻击,这就是为什么安全更新是一场持续的战斗,修补是许多组织的优先事项。
同样,Chrome 处理 CSP 的方式可能有自己的漏洞,允许攻击者链接外部内容。希望其他人能提出一个可能的原因。
评论