দুর্বলতার নাম: “অ্যাকাউন্ট মুছুন” CSRF (ক্রস-সাইট অনুরোধ জালিয়াতি)
প্রভাবিত Prestashop সংস্করণ: v1.6.0.4 – v1.7.6.0
দুর্বল সংস্করণ: <3.7.8
প্যাচ করা সংস্করণ: 3.7.8
দুর্বলতা রিপোর্ট করা হয়েছে: 20শে জুন 2019
দুর্বলতা প্যাচড: 25শে জুন 2019
Prestashop Addon এর গোপনীয়তা ও সিএসআরএফ- এর দুর্বল দিকগুলো কি, একথা আমরা অনেকেই জানি না। Astra-এ আমাদের PrestaShop ক্লায়েন্টদের মধ্যে একজনের নিরাপত্তা নিরীক্ষা করার সময় একটি দুর্বলতা পাওয়া গেছে। যেখানে দেখা যায়, CSRF (ক্রস-সাইট অনুরোধ জালিয়াতি) হচ্ছে এই মডিউলে দুর্বলতা। যা ডেটার গোপনীয়তা বৃদ্ধি (ইনোভাডেলাক্স দ্বারা বিকাশিত) করতে সক্ষম। বর্তমানে এর 2500 টিরও বেশি সক্রিয় ইনস্টলেশন রয়েছে। এই দুর্বলতার কারণে, একজন অনুমোদনহীন ব্যবহারকারী একজন প্রমাণীকৃত PrestaShop ব্যবহারকারীর অ্যাকাউন্ট মুছে ফেলতে পারে। এছাড়াও এরা তাকে ওয়েবে ভাইরাল লিংক খোলার জন্য প্রতারণা করতে পারে।
একটি দায়িত্বশীল নিরাপত্তা সংস্থা হিসাবে, Astra তাই বিলম্ব না করে ডেভেলপারদের এই দুর্বলতার কথা জানিয়েছে। ইনোভাডেলাক্সের ডেভেলপাররা দ্রুত প্রতিক্রিয়া জানাতে পেরে তাদের কর্মে নিযুক্ত হয়েছিল। তারা দুর্বলতা প্যাচ ঠিক করেছে। এবং 25 জুন 2019-এ আপডেট হওয়া সংস্করণ 3.7.8 -তে সেটি তারা প্রকাশ করেছে।
ডেটা প্রাইভেসি এক্সটেন্ডেড মডিউল, এই ওয়েবসাইটগুলিকে GDPR-এর সাথে সারিবদ্ধ করতে বেশ পরিচিত। এইখানে নিউজলেটার সাবস্ক্রিপশন ফর্ম, যোগাযোগের ফর্ম, নিবন্ধন ফর্ম, ইত্যাদির জন্য প্রয়োজনীয় গোপনীয়তার সম্মতির মতো বৈশিষ্ট্য বিদ্যমান রয়েছে৷ এছাড়াও অর্ডারের জন্য যদি সঠিক ইনভয়েস না থাকে, তবে এটি গ্রাহকদের তাদের অ্যাকাউন্ট মুছে ফেলার অনুমতি দেয়৷
সুতরাং, delete account URL/API এন্ডপয়েন্ট ক্রস সাইট রিকোয়েস্ট ফোরজি এর জন্য ঝুঁকিপূর্ণ ছিল। এইখানে একজন হ্যাকার লগ ইন করা ব্যবহারকারীকে তার PrestaShop অ্যাকাউন্ট মুছে ফেলার জন্য শুধুমাত্র একটি ক্ষতিকারক url পরিদর্শন করে/একটি ওয়েব পৃষ্ঠা দেখার মাধ্যমে প্রতারণা করে।
CSRF আক্রমণ ভীতিজনক এবং প্রমাণিত যে কিভাবে দুর্বলতাকে কাজে লাগিয়ে একজন আক্রমণকারীকে আপনার ওয়েবসাইটের সংবেদনশীল তথ্য যেমন ক্রেডিট কার্ডের বিবরণ, ডেটাবেস, অ্যাডমিন একাউন্ট ইত্যাদি সংগ্রহ করে থাকে। কিন্তু, একজন ব্যবহারকারী চাইলে এইসব আক্রমণ থেকে নিজের ওয়েবসাইটকে সুরক্ষিত রাখতে পারেন।
নিম্নলিখিত কয়েকটি উপায়ে আপনি আপনার ওয়েবসাইট রক্ষা করতে পারেন:
1) সর্বশেষ সংস্করণে আপডেট করুন Prestashop Addon
Plugin Developer-রা PrestaShop-এ প্যাচ করা সংস্করণ আপডেট করে তা প্রকাশ করেছে। এখনও যদি আপনি আপডেট করা নিরাপদ Version (3.7.8)-এ না যান, তবে তা আপডেট করুন। এছাড়াও, আপনি যদি CMS-এর একটি পুরানো ভার্সন ব্যবহার করেন, তবে সেটিও আপডেট করুন।
2) একটি firewall বিনিয়োগ
একটি firewall আপনার ওয়েবসাইট এর প্রতিরক্ষামূলক স্তর তৈরি করে। একটি ভাল Web Application firewall-এর বিনিয়োগ করলে, তা আপনাকে বাড়তি নিরাপত্তা, কম সমস্যা, মূলত বিনিয়োগে উচ্চ রিটার্ন দিতে পারে। তেমনই একটি প্রিমিয়াম firewall হল Astra firewall।
এটি আপনার ওয়েবসাইট CSRF, SQLi, XSS, খারাপ বট, OWASP TOP 10 এবং 100+ অন্যান্য আগত হুমকিগুলিকে ব্লক করে। এই firewall আপনার ওয়েবসাইট-এর জন্য একটি ক্রমাগত এবং দৃড় পর্যবেক্ষণ সিস্টেম প্রদান করে থাকে।