Magento CMS

Продукт
Разработчики: Magento Inc.
Дата последнего релиза: 2014/12/15
Технологии: CMS - Системы управления контентом

Содержание

Magento — популярная система управления интернет-магазинами в мире*, в том числе в сегменте Enterprise решений. В июне 2011 г. компания Magento Inc. была приобретена компанией eBay Inc. 21 мая 2018 года Adobe сообщила о приобретении Magento за $1,68 млрд. Эта сделка позволит покупателю лучше конкурировать с лидерами рынка электронной коммерции Salesforce.com и Oracle.

Magento - многофункциональное, профессиональное решение с открытым кодом для электронной коммерции, которое предоставляет полный контроль над внешним видом, содержанием и функциональностью онлайн магазина. Интуитивная панель администрации содержит мощные инструменты маркетинга, SEO и систему управления каталогом продукции, предоставляя компании сделать сайт исходя из собственных предпочтений и требований бизнеса.

Magento - это 150 000 клиентов, 6 400 модулей, 800 000 членов сообщества, 4 миллиона скачиваний платформы Magento Community (данные на лето 2014 года).


2020: Взлом 2 тыс. интернет-магазинов

14 сентября 2020 года стало известно о масштабной хакерской кампании, в рамках которой за два дня было взломано свыше 2000 интернет-магазинов, созданных на основе Magento.

Атаки на интернет-магазины были произведены по типичной схеме Magecart, когда хакеры взламывают сайты, а затем внедряют вредоносные скрипты в исходный код магазинов. Вирус перехватывает все данные, которые пользователь вводит в соответствующие поля при оформлении заказа и отправляет их на сервер злоумышленников.

«
В пятницу было заражено 10 магазинов, затем 1058 в субботу, 603 в воскресенье и 233 сегодня, - так 14 сентября 2020 года прокомментировал инцидент с Magento Виллем де Гроот, основатель Sanguine Security (SanSec), голландской фирмы по кибербезопасности, специализирующейся на отслеживании атак Magecart.
»

Взломаны 2 тыс. интернет-магазинов на CMS Magento по всему миру

Пока что эксперты SanSec не установили, как именно хакеры взламывали пострадавшие сайты, однако Виллем де Гроот отметил, что в августе 2020 года на хакерских форумах появилась реклама уязвимости нулевого дня в Magento 1.x. Это свидетельствует о том, что хакеры ждали подходящего момента. В объявлении некто под ником z3r0day предлагал RCE-эксплоит за $5000.

В SanSec также отметили, что большинство взломанных сайтов использовали Magento устаревшей версии 1.x, чья поддержка была окончательно прекращена 30 июня 2020 года. Кроме того, в 2019 году ИБ-специалисты прогнозировали рост атак на Magento 1.x, опасаясь, что уязвимыми в итоге могут оказаться от 200 000 до 240 000 ресурсов. С того времени число уязвимых ресурсов все же сократилось, по состоянию на середину сентября 2020 года оно достигает порядка 95 000.

«
Эта автоматизированная кампания, безусловно, является самой крупной кампанией, которую Sansec обнаружила с момента начала мониторинга в 2015 году, - добавил де Гроот.
»

Предыдущий рекорд - 962 взломанных магазина за один день (инцидент произошел в июле 2019 года).[1]

2015: В Magento обнаружена критическая уязвимость

22 апреля 2015 года стало известно о выявлении критической уязвимости в открытой платформе электронной коммерции Magento[2].

Панель управления Magento, 2015

В феврале 2015 года была выявлена критическая уязвимость, которая позволяет атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может совершаться минуя процедуру аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в умолчательных (default) конфигурациях.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.8 т

Проведена коррекция кода в обновлении SUPEE-5344, при этом, из-за соглашения о неразглашении, информация об уязвимости была опубликована лишь в эти дни (22 апреля 2015 года).

Релизы Magento и программные заплатки с устранением уязвимостей поставляются отдельно, т.е. пользователю необходимо установить релиз и контролировать появление патчей, применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке корректирующих заплат, что делает их системы потенциально уязвимыми. Например, в составе выпуска Magento 1.9.1.0, доступного по состоянию на 22 апреля 2015 года, исправления не входят.

На 22 апреля 2015 года на платформе Magento работают более 240 тыс. интернет-магазинов.

Примечания



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (10)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Системы КлиК (ранее BMicro, БМикро) (107)
  Extyl (Экстил) (95)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (47)
  Корус Консалтинг (23)
  Qsoft (Кьюсофт) (15)
  Другие (284)

  Extyl (Экстил) (22)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (7)
  Норбит (2)
  Корус Консалтинг (2)
  Areal, Ареал (ранее Arealidea) (1)
  Другие (9)

  Extyl (Экстил) (14)
  Areal, Ареал (ранее Arealidea) (5)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (3)
  Корус Консалтинг (3)
  1С-Битрикс (2)
  Другие (10)

  Extyl (Экстил) (21)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (4)
  Sellty (Селти) (3)
  Первый Бит (3)
  Digital Design (Диджитал Дизайн) (2)
  Другие (10)

  Extyl (Экстил) (8)
  Первый Бит (5)
  Интернет-агентство Далее (2)
  Areal, Ареал (ранее Arealidea) (1)
  Qsoft (Кьюсофт) (1)
  Другие (7)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С-Битрикс (8, 270)
  Системы КлиК (ранее BMicro, БМикро) (1, 111)
  Microsoft (8, 70)
  IBM (4, 29)
  БизнесАвтоматика НПЦ (1, 12)
  Другие (176, 71)

  1С-Битрикс (3, 36)
  Cappasity Inc. (1, 1)
  Liqvid (Ликвид Рус) (1, 1)
  Pimcore Company (1, 1)
  БизнесАвтоматика НПЦ (1, 1)
  Другие (3, 3)

  1С-Битрикс (3, 30)
  Квант (МТ-Технологии) (1, 2)
  БизнесАвтоматика НПЦ (1, 2)
  Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) (1, 2)
  Oracle (1, 1)
  Другие (0, 0)

  1С-Битрикс (2, 37)
  Sellty (Селти) (1, 3)
  Telerik (1, 2)
  БизнесАвтоматика НПЦ (1, 1)
  Другие (0, 0)

  1С-Битрикс (2, 21)
  VK (ранее Mail.ru Group) (1, 1)
  Форктек (Fork-Tech) (1, 1)
  БизнесАвтоматика НПЦ (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С-Битрикс24 - 166
  Клиент-Коммуникатор (КлиК) - 111
  1С-Битрикс: Управление сайтом - 98
  Microsoft SharePoint - 62
  IBM Content Foundation (ранее IBM FileNet) - 28
  Другие 101

  1С-Битрикс24 - 19
  1С-Битрикс: Управление сайтом - 16
  Pimcore Система управления большими массивами данных о товарах и услугах - 1
  Cappasity Платформа для электронной коммерции - 1
  Visary CMS - 1
  Другие 5

  1С-Битрикс: Управление сайтом - 17
  1С-Битрикс24 - 12
  Визуальный конструктор услуг - 2
  Visary CMS - 2
  Квант: DOOH DSP Programmatic - 2
  Другие 2

  1С-Битрикс24 - 21
  1С-Битрикс: Управление сайтом - 16
  Sellty Конструктор интернет-магазина - 3
  SiteFinity - 2
  Visary CMS - 1
  Другие 0

  1С-Битрикс24 - 18
  1С-Битрикс: Управление сайтом - 4
  Visary CMS - 1
  VK CDN - 1
  Fork-Tech: Telegram Event Assistant - 1
  Другие 0