Shopify贸易平台面临RFD攻击，且未修复

浮尘

WebSegura的研究员David Sopas发现了一个反射型文件名下载（RFD）漏洞，该漏洞存在于流行的多渠道贸易平台Shopify中，虽然他已经向Shopify公司发送了安全报告，但似乎该公司并未发现该漏洞的重要性。

漏洞详情

Shopify是一个多渠道的贸易平台，它帮助人们进行网上销售、实体店销售，以及二者的结合销售。WebSegura的著名安全研究员Davis Sopas在Shopify的服务中发现了一个反射型的文件名下载漏洞。Sopas已经向Shopify发送了一份安全报告，报告中解释说该漏洞不需要任何身份验证（如：访问令牌、API键，甚至Shopify账号）。

反射型文件名下载漏洞影响app.shopify.com服务。专家解释说，在IE9和IE8浏览器中浏览以下链接，它将显示一个下载对话框，并提供一个名为track.bat的文件。如果用户运行了这个批处理文件，它将运行谷歌Chrome浏览器，并打开一个恶意Web网页，在这个特别的案例中，商店只是显示一些文本信息，但是很明显恶意攻击者能够利用它进行恶意活动。

Sopas发现，针对其他浏览器如Chrome、Opera、Firefox、安卓浏览器以及安卓版本的Chrome最新浏览器，用户需要访问一个网页，该网页通过使用HTML5的<A  DOWNLOAD>属性强制进行下载：

Sopas在一篇博文中陈述道：

“当受害者访问一个专门制作的包含上述代码的页面时，如果受害者点击了图像，那么它将显示一个下载对话框，在下载完成之后，它将提示该文件来自Shopify服务器。”
这个反射型文件名下载攻击非常隐蔽，因为受害者通常不会觉得他们已经成为黑客的攻击目标，并且他们收到的恶意文件似乎是由可信的源头提供下载，在本例中就是Shopify网站。


能够恢复的一个可能攻击场景如下：

1、攻击者向受害者发送一个链接，该链接中似乎含有CSRF或XSS（网络钓鱼活动、社交网站、即时消息、邮件等等）。
2、受害者点击链接，因为他们相信Shopify作为下载源的安全性，然后下载文件。
3、一旦文件被执行，那么受害者将被劫持。
Sopas批评了Shopify公司处理该漏洞的方式，他觉得Shopify公司低估了安全问题，这一点可以通过Sopas发布的时间线来看出。

漏洞时间线

2015-03-19 将这个安全问题报告给Shopify。
2015-03-27 没有回复，所以我要求更新。
2015-04-06 第一次接触Shopify，他们回复正在处理。
2015-04-15 Shopify告诉我，这是一个有趣的安全问题，并要求更多的信息。
2015-04-15 我发送更多的信息和POC。
2015-05-04 我要求更新（没有回复）。
2015-06-15 我要求另一个更新（没有回复）。
2015-09-16 我要求另一个更新。
2015-09-22 从4月份以来，没有收到Shopify的任何邮件，他们回复说正在忙于修复更加紧迫的问题，并认为我提的这个问题影响较小、优先级较低。
2015-09-23 我告诉他们这不是一个社会工程学问题，但他们还是不明白。
2015-09-23 Shopify告诉我，他们的优先级还没到讨论，并且不会马上修补该漏洞。

CHRIS

学习学习技术，加油！

arctic

a136

感谢楼主的分享~

HUC-参谋长

学习学习技术，加油！

perble

支持中国红客联盟(ihonker.org)

a136

支持中国红客联盟(ihonker.org)

Sty，涛

支持中国红客联盟(ihonker.org)

arctic

学习学习技术，加油！

yusiii