par | 1 Fév 2016

eCommerce : une faille XSS critique dans Magento

Plusieurs milliers de sites eCommerce basés sur la plateforme Magento sont vulnérables à une faille de type XSS (Cross-Site Scripting) qui permet à n’importe quel internaute de prendre le contrôle d’un serveur en injectant du code JavaScript malveillant. Magento est le CMS le plus populaire auprès des sites eCommerce et donc des hackeurs en raison du nombre potentiel de victimes ! Découvrez dans cet article plus de détails sur cette nouvelle faille, ainsi qu’une solution pour empêcher de futurs vulnérabilités XSS sur votre site.

Qu’est-ce qu’une vulnérabilité XSS (Cross-Site Scripting) ?

Qu'est-ce qu'une vulnérabilité #XSS ? Cliquez pour tweeter

Les failles de type XSS sont les vulnérabilités les plus exploitées pour pirater un site Web. Une faille de type XSS qui permet à n’importe quel internaute de prendre le contrôle d’un serveur en injectant du code JavaScript malveillant. Pour pallier à cette vulnérabilité, tout propriétaire d’une plateforme Magento doit appliquer un patch dès que possible sur son site.

Une nouvelle faille XSS cible les sites eCommerce Magento

Une nouvelle faille #XSS cible les #eCommerce #Magento Cliquez pour tweeter

Une vingtaine de failles, dont l’une particulièrement critique de type XSS  (APPSEC-1213) met potentiellement en danger des millions de sites eCommerce. Si vous avez un site basé sur une plateforme Magento, vous devez appliquer le patch dès que possible, car cette attaque permet notamment de :

  • Mettre totalement hors d’usage une site eCommerce basé sur Magento
  • Escalader les privilèges d’un utilisateurs
  • Siphonner les données clients
  • Voler les données bancaires
  • Contrôle le site Web via les comptes administrateurs

Magento a publié un patch la semaine dernière, appelé SUPEE-7405, qui est applicable sur les anciennes versions de sa plateforme.

Pourquoi il ne faut pas prendre cette faille XSS à la légère ?

Pourquoi il ne faut pas prendre cette faille #XSS à la légère ? Cliquez pour tweeter

D’après la société qui développe Magento, leur plateforme eCommerce est utilisée par plus de 200 000 entreprises, dont certaines sont très connues. Une étude de 2015 sur le top 1 million des sites qui ont le plus de trafic, montre que Magento est utilisé par plus de 30% des boutiques en ligne. Ce qui en fait la plateforme eCommerce la plus populaire !

Magento est très populaire pour les sites eCommerce, et ses utilisateurs doivent être encore plus vigilants. Les cybercriminels ne sont pas intéressés dans le piratage d’une ou deux boutiques en ligne, quelle que soit la taille de celle-ci. Ils utilisent des logiciels pour cibler le plus de sites et à moindre coût pour maximiser le retour sur investissement de leur attaque (vol de données confidentielles et bancaires, distribution de malware…). Ils cherchent à automatiser leurs attaques et à toucher instantanément un grand nombre de victimes.

 

Comment protéger pour de bon son site eCommerce contre les vulnérabilités XSS ?

Comment protéger pour de bon son #eCommerce contre les failles #XSS ? Cliquez pour tweeter

La plupart du temps, les patch ne sont pas disponible immédiatement. Nous vous conseillons de mettre en place une solution de cybersécurité efficace pour protéger votre site eCommerce.

OZON est une solution de cybersécurité dédiée aux plateformes eCommerce. En quelques minutes, soyez à l’abri des cyber-attaques et fraudes sophistiquées qui menacent votre activité et pérennité. Notre solution de cyber-sécurité est conçue pour les principales plates-formes eCommerce du marché incluant PrestaShop, Magento et WooCommerce. Avec notre équipe d’experts à vos côtés, concentrez-vous sur le développement de votre business. Alors pour garantir la sécurité de votre PrestaShop, sécuriser votre Magento testez notre solution. Bloquer les attaques, les fraudes, trouver les vulnérabilités et autres programmes malveillants sont maintenant notre affaire. Essayez OZON gratuitement !

Share This