Shopify贸易平台面临RFD攻击,且未修复


        Shopify是一个多渠道的贸易平台,它帮助人们进行网上销售、实体店销售,以及二者的结合销售。安全研究员Davis Sopas在Shopify的服务中发现了一个反射型的文件名下载漏洞。Sopas已经向Shopify发送了一份安全报告,报告中解释说该漏洞不需要任何身份验证(如:访问令牌、API键,甚至Shopify账号)。
        反射型文件名下载漏洞影响app.shopify.com服务。专家解释说,在IE9和IE8浏览器中浏览以下链接,它将显示一个下载对话框,并提供一个名为track.bat的文件。如果用户运行了这个批处理文件,它将运行谷歌Chrome浏览器,并打开一个恶意Web网页,在这个特别的案例中,商店只是显示一些文本信息,但是很明显恶意攻击者能够利用它进行恶意活动。
        Sopas发现,针对其他浏览器如Chrome、Opera、Firefox、安卓浏览器以及安卓版本的Chrome最新浏览器,用户需要访问一个网页,该网页通过使用HTML5的<A  DOWNLOAD>属性强制进行下载。
        Sopas在一篇博文中陈述道:“当受害者访问一个专门制作的包含上述代码的页面时,如果受害者点击了图像,那么它将显示一个下载对话框,在下载完成之后,它将提示该文件来自Shopify服务器。”这个反射型文件名下载攻击非常隐蔽,因为受害者通常不会觉得他们已经成为黑客的攻击目标,并且他们收到的恶意文件似乎是由可信的源头提供下载,在本例中就是Shopify网站。
        能够恢复的一个可能攻击场景如下:
        1、攻击者向受害者发送一个链接,该链接中似乎含有CSRF或XSS(网络钓鱼活动、社交网站、即时消息、邮件等等)。
        2、受害者点击链接,因为他们相信Shopify作为下载源的安全性,然后下载文件。
        3、一旦文件被执行,那么受害者将被劫持。
        Sopas批评了Shopify公司处理该漏洞的方式,他觉得Shopify公司低估了安全问题。