[faille de sécurité] afficher tous les prix à zéro |
Bienvenue invité ( Connexion | Inscription )
[faille de sécurité] afficher tous les prix à zéro |
16 Feb 2006, 18:02
Message
#1
|
|
Ceinture orange OSC Groupe : Membres Messages : 250 Inscrit : 7-January 04 Membre no 1806 |
Il existe une faille qui permet d'afficher tous les prix à zéro. Et donc de payer zéro.
Par contre, oui, encore faut-il se faire livrer... Mais ca peut poser de serieux problèmes à ceux qui vendraient de l'immateriel (des produits téléchargeables). Pour l'exploit... [edit modération faille masquée] c'est un probleme de controle de la casse, pour patcher, il faut passer le champs code dans la table currency en binaire. Djé |
|
16 Feb 2006, 18:10
Message
#2
|
|
Ceinture marron OSC Groupe : Membres Messages : 1514 Inscrit : 3-August 04 Lieu : Brussels, Belgium Membre no 2988 |
perso chez moi ca marche pas...
et j'ai essayé chez oneil (LA référence ) ca marche pas non plus -------------------- Construisons l'avenir ensemble
|
|
16 Feb 2006, 18:46
Message
#3
|
|
Ceinture orange OSC Groupe : Membres Messages : 250 Inscrit : 7-January 04 Membre no 1806 |
Tant mieux si ca marche pas chez toi
c'est un problème lié à mysql donc ca dépend peut etre de la config serveur Djé |
|
16 Feb 2006, 19:51
Message
#4
|
|
5eme dan OSC Groupe : Administrateur Messages : 7634 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
La solution à l'exploit que Djé suggère est en clair celle la :
CODE alter table currencies modify code char(3) binary not null default ''; à appliquer à sa base.
-------------------- |
|
16 Feb 2006, 21:10
Message
#5
|
|
Ceinture orange OSC Groupe : Membres Messages : 250 Inscrit : 7-January 04 Membre no 1806 |
Oui, vous avez raison de modérer... On se demande toujours comment diffuser les problèmes de failles... Si on l'annonce pas, c'est pas bien mais si on l'annonce c'est pas terrible non plus...
Le mieux est que vous fassiez une grosse annonce bien visible, non ? Enfin, bref, le risque de toutes facons c'est surtout pour ceux qui vendent du téléchargeable, ca doit être très rare chez les ecommerçant oscommerce... Djé |
|
16 Feb 2006, 21:25
Message
#6
|
|
5eme dan OSC Groupe : Administrateur Messages : 7634 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
C'est vrai que c'est un problème vieux déjà de quelques mois et tu n'as fait que le mettre en avant. Nous réfléchissons à la meilleure méthode à adopter face à cela, histoire de ne pas se retrouver tous demain avec des commandes fictives qu'on auraient à trier. On a tous de meilleures choses à faire.
-------------------- |
|
16 Feb 2006, 22:09
Message
#7
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
problème sorti du forum blabla et remis à sa place
merci à djebaz pour l'alerte -------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
17 Feb 2006, 00:23
Message
#8
|
|
Ceinture orange OSC Groupe : Membres Messages : 250 Inscrit : 7-January 04 Membre no 1806 |
Dur à suivre le changement de catégorie dans le forum (les sujets font des aller-retour).
Cette faille existe depuis super longtemps et est publique depuis juillet 2005. En fait, je croyais que tout le monde la connaissait. Et puis, en voyant le message sur le forum, ca me l'a rappellée. Djé |
|
17 Feb 2006, 09:31
Message
#9
|
|
5eme dan OSC Groupe : Administrateur Messages : 7634 Inscrit : 28-December 03 Lieu : Hollywood les Granits Membre no 1773 |
Tu as très bien fait de nous y faire penser
Cet exploit date au moins du mois de juin 2005 et est passé quasi inapercu. C'est maintenant une affaire classée. -------------------- |
|
20 Feb 2006, 15:13
Message
#10
|
|
Ceinture bleue OSC Groupe : Membres Messages : 924 Inscrit : 11-October 05 Lieu : Brux'Hell Membre no 7419 |
ok ok, c'est bien d'avoir modéré...
Mais comment savoir si le bug est actif sur notre boutique ? -------------------- » HimSelf : 24 ans, Bruxelles !
Les logiciels c'est comme le sexe, c'est mieux quand c'est gratuit # Never trust user inputs © Liber Dziit |
|
20 Feb 2006, 16:54
Message
#11
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
applique la correction, tu sera sûr que ce ne sera plus possible
-------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
25 Mar 2006, 14:12
Message
#12
|
|
Ceinture blanche OSC Groupe : Membres Messages : 6 Inscrit : 25-March 06 Membre no 9616 |
Excusez moi de cette question de noob, mais comment fait on pour l'appliquer sur notre base ? merci
|
|
25 Mar 2006, 14:19
Message
#13
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
il suffit d'appliquer la requète SQL donnée plus haut:
CODE alter table currencies modify code char(3) binary not null default ''; Tu peux, par exemple, simplement utiliser phpmyadmin: - sélectionner la base de donnée - clic sur l'onglet "SQL" - copier / coller la requète - clic sur Exécuter -------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
25 Mar 2006, 14:29
Message
#14
|
|
Ceinture blanche OSC Groupe : Membres Messages : 6 Inscrit : 25-March 06 Membre no 9616 |
merci !
Je l'ai fait c'est bon, par contre jai cliqué sur "precedente" pour me retrouver à la page d'avant, et je me suis inquiété du fait que ca aurais pu modifier ce que je venais de faire, alors j'ai recliqué sur suivante pour me retrouver à la page de base. Ca ne posera pas de probleme ? la requete a été prise en compte ? elle n'a pas été prise en compte 2 fois (oui je crois que le temps affiché quand jai cliqué sur suivante n'etait pas le meme que la premiere fois, jai donc un doute sur le fait qu'il l'aurais fait deux fois ) et si oui cela pose t'il un probleme ? Je sais que ca peut parraitre idiot, mais je n'ai pas envie de laisser quelque chose au hasard, et mon apprentissage du php se fait petit à petit... |
|
25 Mar 2006, 14:32
Message
#15
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
pas de problème. Quand bien même tu appliquerais le patch plusieurs fois, cela ne posera pas de soucis
-------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
19 May 2006, 10:42
Message
#16
|
|
Ceinture blanche OSC Groupe : Membres Messages : 16 Inscrit : 19-May 06 Lieu : lens Membre no 10451 |
Bonjour,
Je suis entrain d'installer osCommerce chez un client et j'aimerai en savoir plus en ce qui concerne cette faille. Je veux bien appliquer ce patch mais j'aimerai en savoir d'avantage afin de ne pas appliquer ce correctif les yeux fermés ... Vous parlez que ce n'est pas génant pour les commercant vendant des produits "materiel" mais si le client paye par carte bleue au contraire c'est tres genant car le vendeur devra accepter la vente !!! Dans le cas d'un paiement a la livraison je veux bien mais pas dans les autres cas ! merci d'avance, john |
|
19 May 2006, 12:26
Message
#17
|
|
5eme dan OSC Groupe : Administrateur Messages : 14914 Inscrit : 22-November 02 Membre no 610 |
je ne comprend pas bien la question…
la faille n'est pas expliquée ici tout simplement pour éviter qu'elle ne soit trop facilement accessible aux petits rigolos qui seraient tentés de l'utiliser sur les boutiques non patchées. D'apliquer le patch suffit à s'en prémunir. Sur le risque encouru par une boutique non corrigée, le risque est réell pour une boutique proposant des articles en téléchargement. Pour les boutiques vendant des articles physiques, rien ne t'empêche de refuser une vente ne contenant que des frais de port en règlement et de rembouser le client de ces frais. Le seul rique reste celui d'un procès que le client pourrait tenter… ça ne me semble pas critique Il suffit de patcher CODE alter table currencies modify code char(3) binary not null default ''; et la question ne se pose plus-------------------- Ni Hot-line ni Service Après Vente, ces forums sont un lieu d'échanges.
Une Question? Rechercher / FAQ / docV1.pdf / docV2.pdf / contributions |
|
21 Sep 2006, 17:34
Message
#18
|
|
Ceinture blanche OSC Groupe : Membres Messages : 9 Inscrit : 29-March 06 Membre no 9682 |
bonjour,
Pourriez vous au moins montrer à quoi doit ressembler la structure de la table après ce patch? J'ai executé la requete SQL, mais j'ai l'impression que celà n'a absolument rien changé au niveau de la table..... Comment enlever ce doute? puisque je ne sais pas comment tester cette faille... merci Ben |
|
21 Sep 2006, 19:43
Message
#19
|
|
5eme dan OSC Groupe : Membres Messages : 17048 Inscrit : 26-November 03 Lieu : Chez moi Membre no 1669 |
Tu ré-éxécutes le alter et si phpmyadmin te dit OK, c'est que c'est bon.
Merci à ceux qui savent de ne pas donner les conseils pour tester la faille. Ce genre de renseignements laissés dans un forum pourrait causer des désagréments à ceux qui n'ont pas installés le patch. |
|
21 Sep 2006, 20:03
Message
#20
|
|
Ceinture blanche OSC Groupe : Membres Messages : 9 Inscrit : 29-March 06 Membre no 9682 |
je ne vois pas le risque de dire comment la base doit se présenter après le alter....... çà permettrai d'etre sûr, là je suis pas sûr puisqu'on m'a dit que mon site avait une faille, et que après le patch, la base est identique....
Heureusement qu'il s'agissait d'un visiteur honete, mais j'aimerai bien avoir la certitude de la sécurité, avant qu'une autre personne s'en rende compte.. Merci pour votre compréhension |
|
21 Sep 2006, 20:13
Message
#21
|
|
5eme dan OSC Groupe : Administrateur Messages : 9221 Inscrit : 4-March 03 Lieu : Pau Membre no 927 |
La ténacité est une vertue, mais l'entêtement ça tutoie parfois la bêtise.
Si on te dit ici que c'est bon, c'est bon. Si tu veux savoir pourquoi c'est bon, tu te cultives sur la structure de la base avant (recherche dans anciens packs archives) tu regardes ce que ce patch peut faire par rapport à la structure d'une table avant. Et il n'est point nécessaire d'insister. Les raisons de notre confidentialité sont expliquées assez grassement. Toute insistance sera prise pour un Troll. Et moi je chasse les "Trolls", je les efface, je les dézingue, je les pulvérise... ! Capice ? -------------------- Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
21 Sep 2006, 21:18
Message
#22
|
|
Ceinture blanche OSC Groupe : Membres Messages : 9 Inscrit : 29-March 06 Membre no 9682 |
suuuuuuper merci beaucoup
|
|
Version bas débit | Nous sommes le : 28th March 2024 - 18:03 |
Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |