Magento CMS

Продукт
Разработчики: Magento Inc.
Дата последнего релиза: 2014/12/15
Технологии: CMS - Системы управления контентом

Содержание

Magento — популярная система управления интернет-магазинами в мире*, в том числе в сегменте Enterprise решений. В июне 2011 г. компания Magento Inc. была приобретена компанией eBay Inc. 21 мая 2018 года Adobe сообщила о приобретении Magento за $1,68 млрд. Эта сделка позволит покупателю лучше конкурировать с лидерами рынка электронной коммерции Salesforce.com и Oracle.

Magento - многофункциональное, профессиональное решение с открытым кодом для электронной коммерции, которое предоставляет полный контроль над внешним видом, содержанием и функциональностью онлайн магазина. Интуитивная панель администрации содержит мощные инструменты маркетинга, SEO и систему управления каталогом продукции, предоставляя компании сделать сайт исходя из собственных предпочтений и требований бизнеса.

Magento - это 150 000 клиентов, 6 400 модулей, 800 000 членов сообщества, 4 миллиона скачиваний платформы Magento Community (данные на лето 2014 года).


2020: Взлом 2 тыс. интернет-магазинов

14 сентября 2020 года стало известно о масштабной хакерской кампании, в рамках которой за два дня было взломано свыше 2000 интернет-магазинов, созданных на основе Magento.

Атаки на интернет-магазины были произведены по типичной схеме Magecart, когда хакеры взламывают сайты, а затем внедряют вредоносные скрипты в исходный код магазинов. Вирус перехватывает все данные, которые пользователь вводит в соответствующие поля при оформлении заказа и отправляет их на сервер злоумышленников.

«
В пятницу было заражено 10 магазинов, затем 1058 в субботу, 603 в воскресенье и 233 сегодня, - так 14 сентября 2020 года прокомментировал инцидент с Magento Виллем де Гроот, основатель Sanguine Security (SanSec), голландской фирмы по кибербезопасности, специализирующейся на отслеживании атак Magecart.
»

Взломаны 2 тыс. интернет-магазинов на CMS Magento по всему миру

Пока что эксперты SanSec не установили, как именно хакеры взламывали пострадавшие сайты, однако Виллем де Гроот отметил, что в августе 2020 года на хакерских форумах появилась реклама уязвимости нулевого дня в Magento 1.x. Это свидетельствует о том, что хакеры ждали подходящего момента. В объявлении некто под ником z3r0day предлагал RCE-эксплоит за $5000.

В SanSec также отметили, что большинство взломанных сайтов использовали Magento устаревшей версии 1.x, чья поддержка была окончательно прекращена 30 июня 2020 года. Кроме того, в 2019 году ИБ-специалисты прогнозировали рост атак на Magento 1.x, опасаясь, что уязвимыми в итоге могут оказаться от 200 000 до 240 000 ресурсов. С того времени число уязвимых ресурсов все же сократилось, по состоянию на середину сентября 2020 года оно достигает порядка 95 000.

«
Эта автоматизированная кампания, безусловно, является самой крупной кампанией, которую Sansec обнаружила с момента начала мониторинга в 2015 году, - добавил де Гроот.
»

Предыдущий рекорд - 962 взломанных магазина за один день (инцидент произошел в июле 2019 года).[1]

2015: В Magento обнаружена критическая уязвимость

22 апреля 2015 года стало известно о выявлении критической уязвимости в открытой платформе электронной коммерции Magento[2].

Панель управления Magento, 2015

В феврале 2015 года была выявлена критическая уязвимость, которая позволяет атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может совершаться минуя процедуру аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в умолчательных (default) конфигурациях.TAdviser Security 100: Крупнейшие ИБ-компании в России 58.6 т

Проведена коррекция кода в обновлении SUPEE-5344, при этом, из-за соглашения о неразглашении, информация об уязвимости была опубликована лишь в эти дни (22 апреля 2015 года).

Релизы Magento и программные заплатки с устранением уязвимостей поставляются отдельно, т.е. пользователю необходимо установить релиз и контролировать появление патчей, применять их. Многие пользователи Magento оценивают актуальность своей системы по номеру версии и не заботятся об установке корректирующих заплат, что делает их системы потенциально уязвимыми. Например, в составе выпуска Magento 1.9.1.0, доступного по состоянию на 22 апреля 2015 года, исправления не входят.

На 22 апреля 2015 года на платформе Magento работают более 240 тыс. интернет-магазинов.

Примечания



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (10)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Системы КлиК (ранее BMicro, БМикро) (107)
  Extyl (Экстил) (95)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (47)
  Корус Консалтинг (23)
  Qsoft (Кьюсофт) (15)
  Другие (284)

  Extyl (Экстил) (22)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (7)
  Корус Консалтинг (2)
  Норбит (2)
  MCArt (Эм Си Арт) (1)
  Другие (9)

  Extyl (Экстил) (14)
  Areal, Ареал (ранее Arealidea) (5)
  Корус Консалтинг (3)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (3)
  БизнесАвтоматика НПЦ (2)
  Другие (10)

  Extyl (Экстил) (21)
  Факт (ЦИТ Факт, Центр интернет-технологий Факт) (4)
  Первый Бит (3)
  Sellty (Селти) (3)
  Корус Консалтинг (2)
  Другие (10)

  Extyl (Экстил) (8)
  Первый Бит (5)
  Интернет-агентство Далее (2)
  Корус Консалтинг (1)
  Улей (Диджитал Улей, Digital Hive) (1)
  Другие (7)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С-Битрикс (8, 270)
  Системы КлиК (ранее BMicro, БМикро) (1, 111)
  Microsoft (8, 70)
  IBM (4, 29)
  БизнесАвтоматика НПЦ (1, 12)
  Другие (176, 71)

  1С-Битрикс (3, 36)
  Liqvid (Ликвид Рус) (1, 1)
  Pimcore Company (1, 1)
  БизнесАвтоматика НПЦ (1, 1)
  Clipr (1, 1)
  Другие (3, 3)

  1С-Битрикс (3, 30)
  Квант (МТ-Технологии) (1, 2)
  БизнесАвтоматика НПЦ (1, 2)
  Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) (1, 2)
  Oracle (1, 1)
  Другие (0, 0)

  1С-Битрикс (2, 37)
  Sellty (Селти) (1, 3)
  Telerik (1, 2)
  БизнесАвтоматика НПЦ (1, 1)
  Другие (0, 0)

  1С-Битрикс (2, 21)
  Форктек (Fork-Tech) (1, 1)
  БизнесАвтоматика НПЦ (1, 1)
  VK (ранее Mail.ru Group) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С-Битрикс24 - 166
  Клиент-Коммуникатор (КлиК) - 111
  1С-Битрикс: Управление сайтом - 98
  Microsoft SharePoint - 62
  IBM Content Foundation (ранее IBM FileNet) - 28
  Другие 101

  1С-Битрикс24 - 19
  1С-Битрикс: Управление сайтом - 16
  Cappasity Платформа для электронной коммерции - 1
  Microsoft SharePoint - 1
  Liqvid Live - 1
  Другие 5

  1С-Битрикс: Управление сайтом - 17
  1С-Битрикс24 - 12
  Квант: DOOH DSP Programmatic - 2
  Визуальный конструктор услуг - 2
  Visary CMS - 2
  Другие 2

  1С-Битрикс24 - 21
  1С-Битрикс: Управление сайтом - 16
  Sellty Конструктор интернет-магазина - 3
  SiteFinity - 2
  Visary CMS - 1
  Другие 0

  1С-Битрикс24 - 18
  1С-Битрикс: Управление сайтом - 4
  Visary CMS - 1
  VK CDN - 1
  Fork-Tech: Telegram Event Assistant - 1
  Другие 0