[resolu] vulnérabilité contact_us.php |
Bienvenue invité ( Connexion | Inscription )
[resolu] vulnérabilité contact_us.php |
1 Jul 2005, 21:27
Message
#1
|
|
Ceinture marron OSC Groupe : Membres Messages : 1914 Inscrit : 3-October 02 Membre no 467 |
Une vulnérabilité a été découverte sur oscommerce dans le fichier contact_us.php. Une personne malveillante peut exécuter un script via un sql injection.
Le patch est disponible sur oscommerce.com mais voici quelques éléments pour faire vos tests : remplacer contact_us.php par contact_us.php?&name=1&email=1&enquiry=%3C/textarea%3E%3Cscript%3Ealert('coucou');%3C/script%3E pour résoudre ce problème voic les éléments à rajouter dans le fichier contact_us.php CODE require('includes/application_top.php'); // ############## Added security ############ $enquiry = $HTTP_POST_VARS['enquiry']; $name = $HTTP_POST_VARS['name']; $email = $HTTP_POST_VARS['email']; $enquiry = ''; $name = ''; $email = ''; // ############## End Added security ############ information donnée sur : http://www.utimaco.us/lists/bugtraq/2005/Feb/0255.html -------------------- |
|
1 Jul 2005, 22:57
Message
#2
|
|||
5eme dan OSC Groupe : Administrateur Messages : 7634 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
Et pour la version contact_us qu'on retrouve chez certains et notamment sur creload: il faut ajouter ca au même endroit
-------------------- |
||
|
2 Jul 2005, 10:46
Message
#3
|
|
Ceinture orange OSC Groupe : Membres Messages : 254 Inscrit : 18-March 04 Lieu : à 20 Km du Havre Membre no 2148 |
Merci, patch appliquer, aucun pop-up qui réapparait
Merci pour tous ce que vous faites les gars -------------------- MS2.2-RC1-FR W3C
Creload 6.0 SP1.2 RC2, Template Thema 5 |
|
2 Jul 2005, 10:47
Message
#4
|
|
Ceinture verte OSC Groupe : Membres Messages : 735 Inscrit : 2-April 04 Lieu : France Membre no 2225 |
Wum^pus m'a devancé.. c'était aussi pour un merci ...
-------------------- Sur Creload6 VF ! + modifications
|
|
2 Jul 2005, 17:36
Message
#5
|
|
Ceinture verte OSC Groupe : Membres Messages : 691 Inscrit : 18-March 04 Lieu : Lille Membre no 2151 |
Thanks for all, guys....
-------------------- MS2 + une centaine de contribs...
|
|
2 Jul 2005, 18:14
Message
#6
|
|||
Ceinture verte OSC Groupe : Membres Messages : 697 Inscrit : 11-September 04 Membre no 3237 |
Excusez ma naieveté, mais pourquoi faut il faire 2 affectations successives des mêmes variables ? Pourquoi
ne serait pas suffisant ? C'est peut-être idiot, auquel cas oubliez mon post .... |
||
|
2 Jul 2005, 19:30
Message
#7
|
|
Ceinture jaune OSC Groupe : Membres Messages : 53 Inscrit : 25-December 04 Membre no 4180 |
je vais faire mon novice de service mais quel risque représente cette faille (à part le fait de pouvoir faire apparaitre un pop up qui dit "coucou !")
-------------------- ms2fr - Colissimo (Access/Expert/International/Outremer) - Virement bancaire - Order Editor - QT Pro - Banned emails - Featured Prod - Must agree to the terms - Down for maintenance - Quickly update - Empty Catégories - Simple Price Break
|
|
3 Jul 2005, 05:27
Message
#8
|
|||||||
Ceinture marron OSC Groupe : Membres Messages : 1914 Inscrit : 3-October 02 Membre no 467 |
Il semblerait que le pb affecte l'ensemble des fichiers utilisant cette fonction : tep_draw_textarea_field($name, $wrap, $width, $height, $text = '', $parameters = '', $reinsert_value = true) checkout_shipping checkout_payment tell_a_friend product_reviews_write.php ou tout autre fichier intégrant cette fonction sur checkout_shipping vous pouvez tester : checkout_shipping.php?comments=%3C/textarea%3E%3Cscript%3Ealert('w00t');%3C/script%3E Après require('application_top.php'); voilà la solution(enfin j'espère) basée sur le script ci dessus :
Cela devrait résoudre le pb. pour tell_a_friend.php
concernant product_reviews_write.php
Attention : Je ne peux dire si ces solutions permettront de tout résoudre (donc je ne donne aucune garantie) et j'espère qu'il y a côté du forum des experts qui permettront d'apporter confirmation ou non concernant ces petites modifications. Affaire à suivre sur oscommerce.com : http://www.oscommerce.com/community/contributions,2976 -------------------- |
||||||
|
3 Jul 2005, 10:50
Message
#9
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
merci gyaku pour ces infos... mais la question de paria reste entière: quel risque existe-t-il vraiment à part celui de faire passer à quelqu'un un lien contenant une alerte javascript
-------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
3 Jul 2005, 15:30
Message
#10
|
|||
Ceinture marron OSC Groupe : Membres Messages : 1914 Inscrit : 3-October 02 Membre no 467 |
Voilà mon avis sur ce point : Si quelqu'un est capable d'executer un code simple à partir d'une adresse URL alors il est parfaitement possible d'executer un code plus complexe allant jusqu'à l'effacement de la base de données. Les sql injection ne pardonnent pas si qq'un sait les manier. A ce niveau, je n'ai pas la connaissance pour dire si cette faille est importante ou pas. Mais je préfère le principe de précaution. voici un lien que j'ai trouvé et qui date du 13 Juin 2005 et qui montre une nouvelle faille sur osc.
petite def des sql injection : Les données sont envoyées par le client par l'intermédiaire d'un script sur le serveur web. Il s'ensuit une connexion au serveur SQL, puis l'envoi des données de la requête du client. La rêquete est exécutée par le serveur SQL. La réponse est reçue par le client et est affichée sous la forme d'une page web. -------------------- |
||
|
12 Jul 2005, 15:59
Message
#11
|
|||
Ceinture jaune OSC Groupe : Membres Messages : 59 Inscrit : 5-April 05 Membre no 5384 |
Je comprenais pas comment a partir d'un javascript on pouvait faire mal. J'ai trouvé ça. C'est BON ?
-------------------- MS2 - QTPRO 4.2 - Ezier New Fields - featured_products - WYSIWYG_v1.8FR - Contre-remboursement - 3_Sizes_of_product_images_Update - visible_countries_1.1b - products_on_order1.2 - Cyberplus Atos5.0 - Header Tag
|
||
|
14 Jul 2005, 22:10
Message
#12
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 345 Inscrit : 22-October 04 Lieu : Suisse Membre no 3550 |
Pour ma part je penses qu'un systeme d'alerte/MAJ (via CVS) est sans doute nécessaire dans ce domaine (c'est fout la foule d'exploits qu'on y trouve)
-------------------- [edit modération NO_PUB]
|
|
30 Jul 2005, 22:52
Message
#13
|
|||||||||
Ceinture blanche+ OSC Groupe : Membres Messages : 24 Inscrit : 2-February 05 Lieu : Neuchâtel - Suisse Membre no 4604 |
Modif effectuée, mais voici l'erreur sur la creload 6 Parse error: parse error in /home/httpd/vhosts/nautil.ch/httpdocs/checkout_payment.php on line 16 Pourquoi ? Erreurs qui se donnent sur: - checkout_shipping - checkout_payment - tell_a_friend - product_reviews_write.php javascript:emoticon(':?') Par-contre, contact-us fonctionne avec la modif. -------------------- Ma boutique est en production sur le net (PHP4). Miroir en locale (PHP5) sur iBook G3 800MHz, 640Mo RAM, avec MAMP.
|
||||||||
|
2 Aug 2005, 22:24
Message
#14
|
|||||||||
Ceinture verte OSC Groupe : Membres Messages : 691 Inscrit : 18-March 04 Lieu : Lille Membre no 2151 |
Salut Oneill, salut à tous En regardant la modif de près pour la creload, il s'avère que la variable $email n'est pas utilisée, contrairement à la ms2 qui l'utilise... Donc la modif serait plutôt:
du fait de la présence de cette ligne de code
Quelqu'un peut me confirmer la modif? -------------------- MS2 + une centaine de contribs...
|
||||||||
|
3 Aug 2005, 17:30
Message
#15
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 120 Inscrit : 1-June 05 Membre no 6050 |
Bon...je sais que c'est nulle ma question mais bon après de voir que vous êtes encore en train de voir quoi mettre comme patch...pourriez vous faire une 'version clean' de cette thread pour les newbies de comment faire cela et pour quel version chaque chose?
Merci! -------------------- J'ai une creaload 6
|
|
4 Aug 2005, 22:14
Message
#16
|
|
5eme dan OSC Groupe : Administrateur Messages : 7634 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
C'est très simplement expliqué dans le premier post
-------------------- |
|
9 Aug 2005, 14:44
Message
#17
|
|
Ceinture jaune OSC Groupe : Membres Messages : 52 Inscrit : 30-April 04 Lieu : Lyon, France Membre no 2373 |
Bonjour,
Pour répondre à ceux qui se posent la question du 'niveau' de cette faille : Le fait de pouvoir afficher une boite contenant 'coucou' est simpliste, mais révélateur. Il ne va pas vous être proposé un script présentant un risque pour votre base, votre site, pour faire juste un test. Par contre, cette boite 'javascript' est révélateur : - Il est possible de faire fonctionner du javascript, avec tout ce que cela comporte comme risque : -> L'internaute met une redirection à base de javascript vers son site (sic) et se fait passer pour 'votre' site -> Il récupère le cookie, et donc l'identifiant du visiteur, et se fait passer pour lui -> Il lance des attaques sur votre serveur, muni du cookie d'un 'client', voire du cookie de l'administrateur etc.. Une simple box. 'coucou', c'est plutot sympa, comme test, non ? |
|
13 Aug 2005, 12:38
Message
#18
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 119 Inscrit : 9-July 05 Membre no 6477 |
J`arrive peut-etre un peu tard mais je tenais a vous remercier pour le travail et l`aide que vous nous fournisse . En effet , la securite est devenue mon obsesssion premiere et depuis que j`ai installe ces patchs , je me sents plus en securite meme si je sais que le 100% n`existe pas...
Merci encore . -------------------- osCommerce MS2fr
|
|
24 Aug 2005, 17:48
Message
#19
|
|||||
Ceinture orange OSC Groupe : Membres Messages : 225 Inscrit : 30-June 04 Membre no 2781 |
Bonjour, J'ai rencontré un problème avec
Certains utilisateurs ne peuvent plus remplir le formulaire. Heureusement, Elbe 4881 était là et a répondu :
Merci à lui -------------------- - creload 6 en production - 2.2RC2aFRW3C en développement -
|
||||
|
9 Sep 2005, 19:19
Message
#20
|
|
Ceinture orange OSC Groupe : Membres Messages : 220 Inscrit : 29-July 05 Lieu : Calais Membre no 6644 |
Bonjour,
Armoise dans quel fichier as-tu rencontré ce problème ? -------------------- Site actuel:MS2 VERSION+Contribs: kelkoo + colissimo + send_order_html_email_v53 + Administration Access Level Accounts V2.3 + store_pickup_version1.3 + Order Editor + HeaderTags + SEO_URL_Rewriting + DefineMainPage + GoogleXMLSitemap + Atos + Easy populate + Featured Products + Month Sales
Site en préparation:Creload SP1.4+Contribs: CCC version US customisée par SERVALONE ( votre avis sur notre site ) |
|
11 Sep 2005, 21:32
Message
#21
|
|||||
Ceinture marron OSC Groupe : Membres Messages : 1385 Inscrit : 3-June 04 Lieu : Saint-mandé Membre no 2597 |
Au lieu d'utiliser les variables, du type :
Je conseillerais plutot d'utiliser au choix la fonction strip_tags() ou tep_sanitize_string() dans le fichier html_output.php à la fonction tep_draw_textarea_field() à la ligne (~230) :
Evitant ainsi de construire des balises, et de modifier tous les fichiers concernés... Cordialement -------------------- |
||||
|
13 Sep 2005, 07:57
Message
#22
|
|
Ceinture blanche OSC Groupe : Membres Messages : 3 Inscrit : 26-February 02 Lieu : Isère Membre no 64 |
Apres integration
CODE require('includes/application_top.php'); // ############## Added security ############ $enquiry = $HTTP_POST_VARS['enquiry']; $name = $HTTP_POST_VARS['name']; $email = $HTTP_POST_VARS['email']; $enquiry = ''; $name = ''; $email = ''; // ############## End Added security ############ Toujours des messages par 3 1er message qqz@eco-bacchus.com Content-Type: multipart/mixed; boundary="===============1104754965==" MIME-Version: 1.0 Subject: c885ad05 To: qqz@eco-bacchus.com bcc: jrubin3546@aol.com From: qqz@eco-bacchus.com This is a multi-part message in MIME format. --===============1104754965== Content-Type: text/plain; charset="us-ascii" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit rnv --===============1104754965==-- 2ieme message uisaabjtcz --===============1060508457==--" <dvey@eco-bacchus.com> MIME-Version: 1.0 X-Mailer: osCommerce Mailer Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit dvey@eco-bacchus.com 3ieme message fqej@eco-bacchus.com Recevez vous ce genre de message ? Avez vous une explication ? -------------------- [edit modération : pas de lien vers des boutiques en prod]
|
|
13 Sep 2005, 08:37
Message
#23
|
|
5eme dan OSC Groupe : Administrateur Messages : 7634 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
Réponse : OUI la semaine dernière, une par une box de sondage que j'ai supprimé, une par la box newsletter et une par contact us après intégration du correctif.
Cette modif pourri le contact us en empêchant les clients loggués de vous écrire. La contrib suivante semble être la voie à suivre à différents niveaux. http://www.oscommerce.com/community/contributions,3534 On modifie le tep_mail, les textarea et dans contact_us, on ajoute strip_tags plutôt que tep_sanitize_string qui bloque également l'envoi des mails des client loggués... Je me penche sur la boxe newsletter. -------------------- |
|
13 Sep 2005, 08:48
Message
#24
|
|||||
5eme dan OSC Groupe : Administrateur Messages : 7634 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
Pour la box newsletter, j'ai ajouté ces lignes :
ligne 40 et
ligne 70 environ
Ce qui semble suffire. Reste plus que la box survey -------------------- |
||||
|
13 Sep 2005, 11:31
Message
#25
|
|
5eme dan OSC Groupe : Administrateur Messages : 7634 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
-------------------- |
|
Version bas débit | Nous sommes le : 28th March 2024 - 19:26 |
Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |