 Suis-je à jour niveau sécurité..., Des connexions avec URL trafiquées sur mon site en prod. |
 |
 |
 |
 |
 |
 |
 |
 |
Bienvenue invité ( Connexion | Inscription )
  |
 11 Mar 2009, 18:50
Message
#1
|
|
 Ceinture orange+ OSC  Groupe : Membres Messages : 366 Inscrit : 31-December 03 Lieu : Nantes Membre no 1780  |
Bonjour,
J'ai en ce moment de nombreuses connexions sur mon site avec des url de cette forme : Code http://monsite.com/pdf_datasheet.php?products_id=-999+AND+1=2+UNION+ALL+SELECT+0x3065376332613738353864303833656636636535323337343 330636466343033,0x3a3a7865512d312d7465643a3a,0x3a3a7865512d322d7465643a3a,0x3a3a7 865512d332d7465643a3a,0x3a3a7865512d342d7465643a3a,0x3a3a78655 Je le vois par le biais de la contribution Whos online. Mes questions : j'ai une vieille MS2 de 2003, trafiquée à mort, qui tourne bien. en prod. Je lui ai fait les maj de sécurité, je pense que la dernière est osCommerce 2.2 Milestone 2 Update 060817 Update Package 17th August 2006 Comment savoir avec certitude où j'en suis au niveau failles de sécurité sur mon Oscommerce ? Dois je passer obligatoirement en Version osCommerce MS2 RC1 FR validée W3C v3 où les dernières maj suffisent ? Merci Seb -------------------- Osc 2.2 ms2 en prod : STS - Easy Populate - CSS Buttons - SEO - Email Invoice -MailingList 2.0 - Order editor - Wordlpay ...
|
 |
|
|
12 Mar 2009, 08:08
Message
#2
|
|
|
Ceinture verte OSC  Groupe : Membres Messages : 576 Inscrit : 11-August 04 Membre no 3034 |
Bien malin qui pourra te répondre !
Déjà sur l'exemple cité, il faut vérifier si la variable est bien toujours filtrée avant utilisation. Il y a d'autres méthodes (audit de code par exemple), en voici une que j'utilise qui se fait toute seule, sauf l'analyse et l'interprétation du résultat  Sur le site de dev, en local, avec toutes les sécurités serveur supprimées (mod_security et autre), je lance une analyse wapity (principalement), en passant par un proxy ratproxy. L'analyse se fait et j'analyse les logs. Attention, ce n'est quand même pas facile et rapide ni efficace à 100%, mais ça marche pas trop mal sur les failles XSS et les injections. J'ai bien dis de le faire en local, car sinon ton administrateur va au mieux te bloquer (et l'analyse tombera à l'eau), ou pire t'étrangler car la méthode est super agressive, peut mettre en l'air le site et faire tomber le serveur. Ce n'est pas anodin. -------------------- Raccourcisseur d'url foe.hn (se dit fun !)
|
|
|
|
|
12 Mar 2009, 10:32
Message
#3
|
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 366 Inscrit : 31-December 03 Lieu : Nantes Membre no 1780 |
Merci pour ta réponse Maxime, mais sans aller jusque la (j'en suis incapable!) et ce que mon osc mis à jour 060817 est moins sécurisé que le dernier RC1 ?
Donc que à terme il faudra soit que je refasse ma boutique en RC1 (à moins qu'il y ait des ponts d'upgrade ) ou carrément changer de crémerie... Seb -------------------- Osc 2.2 ms2 en prod : STS - Easy Populate - CSS Buttons - SEO - Email Invoice -MailingList 2.0 - Order editor - Wordlpay ...
|
|
|
|
|
20 Mar 2009, 08:35
Message
#4
|
|
 Ceinture bleue OSC  Groupe : Membres Messages : 828 Inscrit : 27-May 05 Membre no 6003 |
tu as essayé le lien que tu as posté?
il renvoit quelque chose? c'est clairement une tentative d'injection via une vieille faille pdf d'osc... regarde de ce coté là pour la corriger si jamais le lien marche... |
|
|
|
|
20 Mar 2009, 08:55
Message
#5
|
|
|
Ceinture verte OSC Groupe : Membres Messages : 576 Inscrit : 11-August 04 Membre no 3034 |
Je rajouterai que la mise à jour d'osc ne devrait pas corriger une faille (si existante) sur pdf_datasheet.php car ce fichier est issu d'une contribution.
Il faut regarder les patchs de sécurité osc, mais aussi sur les contrbutions. Ensuite SambaMambo a raison, ce n'est pas parce que tu vois un pirate dans who's online, qu'il a piraté quoique ce soit, mais tu as parfaitement raison de t'inquiéter. Sinon regarde cette contribution http://addons.oscommerce.com/info/6044 Elle pourrait protéger un code non sécurisé de certaines attaques. Bon courage ! -------------------- Raccourcisseur d'url foe.hn (se dit fun !)
|
|
|
|
|
20 Mar 2009, 09:35
Message
#6
|
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 366 Inscrit : 31-December 03 Lieu : Nantes Membre no 1780 |
@ Samba : oui j'essayé et heureusement ça ne donne rien.
@ Maxime : oui, je l'ai vu! Merci de me rappeler qu'il faut que je mette à jour mon htaccess. super ces quelques lignes. ++ seb -------------------- Osc 2.2 ms2 en prod : STS - Easy Populate - CSS Buttons - SEO - Email Invoice -MailingList 2.0 - Order editor - Wordlpay ...
|
|
|
|
|
20 Mar 2009, 23:46
Message
#7
|
|
 Ceinture blanche+ OSC  Groupe : Membres Messages : 33 Inscrit : 14-August 06 Lieu : Cassis Membre no 11521 |
Bonsoir,
En complément de tout ceci, je te conseille d'installer Crawltrack, qui en plus d'être un puissant outil d'analyse de stats (perso, je l'utilise conjointement à Google Analytics), permet aussi le blocage de certains scripts malveillants. L'essayer, c'est l'adopter... ++ Rémi Ce message a été modifié par therapy - 21 Mar 2009, 01:34. |
|
|
|
|
24 Mar 2009, 12:03
Message
#8
|
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 366 Inscrit : 31-December 03 Lieu : Nantes Membre no 1780 |
Bien noté pour CrawlTrack, dans ma todo liste!... J'ai installé les filtres dans le .htaccess avec le lien donné par Maxime, et ai fait en sorte de loguer les ip dans un fichier en cas de correspodnance avec la règle. Cependant en testant avec des url traifquées du style :
Code http://monsite.com/categorie1/produit-trucmuche-p-234.html?union+select-md5 les mots clés définis dans le htaccess, il ne me logue rien...Bon je passe à crawltrack sous peu... Merci pour vos conseils. Seb -------------------- Osc 2.2 ms2 en prod : STS - Easy Populate - CSS Buttons - SEO - Email Invoice -MailingList 2.0 - Order editor - Wordlpay ...
|
|
|
|
|
24 Mar 2009, 13:40
Message
#9
|
|
|
Ceinture verte OSC Groupe : Membres Messages : 576 Inscrit : 11-August 04 Membre no 3034 |
Un question, le site, c'est sur un dédié ou sur du mutualisé ?
-------------------- Raccourcisseur d'url foe.hn (se dit fun !)
|
|
|
|
|
24 Mar 2009, 14:03
Message
#10
|
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 366 Inscrit : 31-December 03 Lieu : Nantes Membre no 1780 |
Un dédié
-------------------- Osc 2.2 ms2 en prod : STS - Easy Populate - CSS Buttons - SEO - Email Invoice -MailingList 2.0 - Order editor - Wordlpay ...
|
|
|
|
|
25 Mar 2009, 06:49
Message
#11
|
|
 Ceinture bleue OSC Groupe : Membres Messages : 1015 Inscrit : 28-September 07 Lieu : Saint paul - REUNION Membre no 19202 |
'jour Concord44,
je confirme pour crawltrack - en plus de tes htaccess - dont la configuration te permettra entre autre de repérer les tentatives d'injection de code et mysql, d'exclure des IP ... je suis en prod avec une ms2 également et jusqu'à ce jour toutes les tentatives ont été bloquées après avoir été clairement identifiées, ainsi que les scripts utilisés: to doooo !  bonne continuation, 
-------------------- Thierry
En prod sur serveur Apache 1.3.34 (Unix),Msql 5.0.45, version Php 5.2.6 Local sous php 5.3.6.1 - mysql 5.5.13 - apache 2.2.19 - phpmyadmin 3.4.3.1 version Oscommerce-2.2ms2-RC1 FR avec un tas comme ça de contributions ...... et bien d'autres dont je me suis inspiré à grand renfort de café ! Un grand merci à tous !(pour votre aide et votre patience....) |
|
|
|
|
25 Mar 2009, 07:44
Message
#12
|
|
|
Ceinture verte OSC Groupe : Membres Messages : 576 Inscrit : 11-August 04 Membre no 3034 |
Citation (concorde44 @ 24 Mar 2009, 09:03)  Un dédié Essai donc de voir côté modules Apache et pare-feu plutôt qu'au niveau du code php tel que crawltrack, car cela sera plus performant d'une manière générale. Quelques outils :
-------------------- Raccourcisseur d'url foe.hn (se dit fun !)
|
|
|
|
|
25 Mar 2009, 11:58
Message
#13
|
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 366 Inscrit : 31-December 03 Lieu : Nantes Membre no 1780 |
Merci à maxime et Badcape pour leurs bon conseils.
Pour la gestion du coté de Apache, j'en ai laissé le soin à un presta externe en infogérance. Pour lui il n'y a aucun souci de ce coté, il me demandait surtout si j'étais bien à jour au niveau de la sécurité de Osc. D'où ce post. Et crawlTrack, j'en ai lu du bien , je l'installe dès que possible. Merci Seb -------------------- Osc 2.2 ms2 en prod : STS - Easy Populate - CSS Buttons - SEO - Email Invoice -MailingList 2.0 - Order editor - Wordlpay ...
|
|
|
|
|
10 Apr 2009, 11:16
Message
#14
|
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 366 Inscrit : 31-December 03 Lieu : Nantes Membre no 1780 |
J'ai installé Crawltrack ! M'a l'air super.
Question pour Badcape (ou toute autre personne l'ayant installé sur son osc ) : Tu l'as mis à quel endroit le tag ? Moi juste après le body. dois je le mettre avant le <html> ? Merci seb -------------------- Osc 2.2 ms2 en prod : STS - Easy Populate - CSS Buttons - SEO - Email Invoice -MailingList 2.0 - Order editor - Wordlpay ...
|
|
|
|
|
11 Apr 2009, 23:28
Message
#15
|
|
 Ceinture orange+ OSC Groupe : Membres Messages : 381 Inscrit : 24-November 05 Membre no 7969 |
Bonjour,
Je l'utilise depuis un moment maintenant ... Le code est installé dans le footer au début du code
-------------------- osCommerce Online Merchant v2.2 RC1 W3C Valid FR v3 | STS v 4.5.8 | Moneyorder de base | Virement (Moneyorder modifié) | Taxipost_24H | Colissimo (Simple + R1 R2 R3) | Header Tags Controller v2.3.2 | PayPal_MS2_FR | Visitor Web Stats 3.2 | big_images 1.25 - 2.2MS2 | discount_coupon_codes_3_31 | Visitor Web Stats 3.2 | Freeamount 3.5f | All_In_OneFCKeditor_V1 | dynamic_sitemap v 3.2 | Ultimate_SEO_URLs_v2-2.2eFIXED | queries_debug-v1.7 1 | Freeamount avec activation pour certains pays | qtpro4.51b |
|
|
|
|
|
14 Apr 2009, 10:33
Message
#16
|
|
|
Ceinture jaune+ OSC  Groupe : Membres Messages : 108 Inscrit : 8-December 08 Membre no 23888 |
Bonjour,
Amanda, juste pour être sûre : tu as mis le code dans ton fichier catalog/include/footer.php ? c'est bien celui-là ?? Merci -------------------- Version : oscommerce-2.2ms2-FR-060817-2010 - PHP Version 4.4.9
Addons/contribs installés : Ultimate SEO Urls v2.6 (18 Aug 2008)+ bug fix Full package - GoogleXMLSitemapv1.3 - Heardabout_1_2 - Whosonlineturbov1.1fr - Freeamount 3.5e-c - Carrousel Flash - Anonymat Client pour critiques - Grandes images au passage de la souris (évite le "cliquer pour agrandir") - previous_next w_details_v3.4.0 - Show_Model_Picture_v1 - Ajout formulaire pour qté produit dans description produit - Store Mode 1_3 - Search_Price_Range_Pulldown_Menu-1.1.1 - Colissimo_v1.8 - Loginbox_5.7 - OrderCheck_2.5.1c - Send HTML Email V.2.1 - Store Pick Up 1.5 - Dynamic_sitemap_v3.5.10 - Quick Updates 2.8.3 Full_1 - En cours : CCGV5.21 + OSC PDF Catalog 2.0.9 |
|
|
|
|
14 Apr 2009, 13:21
Message
#17
|
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 366 Inscrit : 31-December 03 Lieu : Nantes Membre no 1780 |
Bonjour, le site de crawltrack indique qu'il faut mettre le code le plus haut possible dans la page pour qu'il soit le plus efficace.
Je pense que c'est même avant la balise <html>. Je leur envoie un mail pour en être sur. Je l'ai mis juste après le <body> mais peut être est-ce déja trop bas pour intercepter l'attaque. D'ailleurs je suis impressionné : sitot installé, l m'a déja détecté et indiqué très clairement, les tentatives d'attaque! Une dizaine depuis vendredi 10 avril! Il ya l'ip et le pays indiqué et l'url avec l'injection de code dedans. Excellent outil ! -------------------- Osc 2.2 ms2 en prod : STS - Easy Populate - CSS Buttons - SEO - Email Invoice -MailingList 2.0 - Order editor - Wordlpay ...
|
|
|
|
|
15 Apr 2009, 18:59
Message
#18
|
|
 Ceinture orange OSC  Groupe : Membres Messages : 234 Inscrit : 18-October 06 Lieu : Oinville s/Montcient (78) Membre no 12728 |
Salut
Pour ma part, je l'installe tout en haut du fichier includes/application_top.php De cette manière, il est présent sur chaque fichier du catalogue en une seule manipulation. Infini Ce message a été modifié par infini - 15 Apr 2009, 19:00. -------------------- MS2.2 (stable) + Admin Account with Access Level - FCKeditor - New customer emails - Box newsletter - Ecotaxe - Discount coupon codes - OrderCheck - Login box - Sitemap - Giftwrap - AntiRobotRegistrationValidation - AJAX AttributeManager - PDF Invoice - Ultimate SEo Urls - Stats Sales Report - Stats customers orders - Colissimo - Traking colissimo - Atos 6.00 - Sogenactif - [OVH dédié] et énormément de customisation au niveau design - Valide XHTML et CSS2.1
|
|
|
|
|
15 Apr 2009, 19:45
Message
#19
|
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 108 Inscrit : 8-December 08 Membre no 23888 |
Salut,
En fait du coup je l'ai mis dans le fichier catalog/include/footer.ph. A priori c'est comme pour le fichier catalog/includes/application.top : ils sont tous les deux appelés en même temps donc je pense que ca revient au même; et effectivement en le mettant avant les premières balises php de la page ca fonctionne autant !! -------------------- Version : oscommerce-2.2ms2-FR-060817-2010 - PHP Version 4.4.9
Addons/contribs installés : Ultimate SEO Urls v2.6 (18 Aug 2008)+ bug fix Full package - GoogleXMLSitemapv1.3 - Heardabout_1_2 - Whosonlineturbov1.1fr - Freeamount 3.5e-c - Carrousel Flash - Anonymat Client pour critiques - Grandes images au passage de la souris (évite le "cliquer pour agrandir") - previous_next w_details_v3.4.0 - Show_Model_Picture_v1 - Ajout formulaire pour qté produit dans description produit - Store Mode 1_3 - Search_Price_Range_Pulldown_Menu-1.1.1 - Colissimo_v1.8 - Loginbox_5.7 - OrderCheck_2.5.1c - Send HTML Email V.2.1 - Store Pick Up 1.5 - Dynamic_sitemap_v3.5.10 - Quick Updates 2.8.3 Full_1 - En cours : CCGV5.21 + OSC PDF Catalog 2.0.9 |
|
|
|
|
19 Apr 2009, 15:54
Message
#20
|
|
|
Ceinture orange+ OSC Groupe : Membres Messages : 381 Inscrit : 24-November 05 Membre no 7969 |
Citation Bonjour, Amanda, juste pour être sûre : tu as mis le code dans ton fichier catalog/include/footer.php ? c'est bien celui-là ?? Merci Oui c'est celui-là ... Mais dans le fichier application_top.php est une bonne soluce aussi 
Ce message a été modifié par amanda - 19 Apr 2009, 15:55. -------------------- osCommerce Online Merchant v2.2 RC1 W3C Valid FR v3 | STS v 4.5.8 | Moneyorder de base | Virement (Moneyorder modifié) | Taxipost_24H | Colissimo (Simple + R1 R2 R3) | Header Tags Controller v2.3.2 | PayPal_MS2_FR | Visitor Web Stats 3.2 | big_images 1.25 - 2.2MS2 | discount_coupon_codes_3_31 | Visitor Web Stats 3.2 | Freeamount 3.5f | All_In_OneFCKeditor_V1 | dynamic_sitemap v 3.2 | Ultimate_SEO_URLs_v2-2.2eFIXED | queries_debug-v1.7 1 | Freeamount avec activation pour certains pays | qtpro4.51b |
|
|
|
|
|
20 Apr 2009, 07:17
Message
#21
|
|
 Ceinture orange OSC Groupe : Membres Messages : 209 Inscrit : 13-August 06 Membre no 11512 |
Oulalal attention,
Crawltrack pour pouvoir intercepter les attaques doit impérativement être placé avant toute requête php. Si on le place dans le footer avant que crawltrack ne bloque l'exécution du script il sera interprété par le code php plus haut. Conclusion, crawltrack n'est efficace qu'à condition qu'il soit le premier code php chargé. -------------------- poser une question c'est être idiot 5 minutes, ne pas la poser c'est le rester toute sa vie.
poser une question c'est être idiot 5 minutes, ne pas la poser c'est le rester toute sa vie. Création de site internet et référencement de site internet avec paiement au résultat MS2/HeaderTags/Ultimate_SEO_URLs/products cross/  |
|
|
|
|
20 Apr 2009, 09:09
Message
#22
|
|
 Ceinture marron OSC  Groupe : Membres Messages : 1668 Inscrit : 20-April 07 Lieu : chez mickey Membre no 16736 |
salut
merci pour cette précision concernant crawltrack, je vais 'installer de ce pas. @ maxime, on en fait quoi du fichier dummy, il est vide dedans, on le place ou ? merci -------------------- oscommerce ms2.2 delaballe, header tag controller v2-6-3, Agree2Terms_v1.6.7, MS2-2.2-SiteMap-SEO-URLs-withproducts (bientot), sponsorship v2.2,pack_newsletters, pack_newsletters, Prof_Invoice&PackingSlip_v0.2(fr+stylesheet) (je crois), checkout_confirmation_chg_valid_xhtml, + d'autres mais je sais plus trop a force.
|
|
|
|
|
7 May 2009, 13:18
Message
#23
|
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 108 Inscrit : 8-December 08 Membre no 23888 |
Bonjour,
En fait je m'apercois que le fichier header.php est requis plus de fois dans les différents fichiers et dossiers, alors que application_top.php et footer.php le sont un peu moins. (à priori 90 occurrences pour header.php et 87 pour chacun des 2 autres) (quand je fais la "recherche dans les repertoires" de notepad++) Donc je me dis que le mieux est de mettre le code de crawltrack dans le header, non ???? -------------------- Version : oscommerce-2.2ms2-FR-060817-2010 - PHP Version 4.4.9
Addons/contribs installés : Ultimate SEO Urls v2.6 (18 Aug 2008)+ bug fix Full package - GoogleXMLSitemapv1.3 - Heardabout_1_2 - Whosonlineturbov1.1fr - Freeamount 3.5e-c - Carrousel Flash - Anonymat Client pour critiques - Grandes images au passage de la souris (évite le "cliquer pour agrandir") - previous_next w_details_v3.4.0 - Show_Model_Picture_v1 - Ajout formulaire pour qté produit dans description produit - Store Mode 1_3 - Search_Price_Range_Pulldown_Menu-1.1.1 - Colissimo_v1.8 - Loginbox_5.7 - OrderCheck_2.5.1c - Send HTML Email V.2.1 - Store Pick Up 1.5 - Dynamic_sitemap_v3.5.10 - Quick Updates 2.8.3 Full_1 - En cours : CCGV5.21 + OSC PDF Catalog 2.0.9 |
|
|
|
|
7 May 2009, 13:43
Message
#24
|
|
|
Ceinture orange OSC Groupe : Membres Messages : 209 Inscrit : 13-August 06 Membre no 11512 |
Ce qui ne change rien au problème, le header est toujours appelé et il faut obligatoirement mettre le code crawltrack en début de code php sinon tous les bouts de code avant le celui de crawltrack éxecuterons l'attaque avant que crawltrack la bloque.
Crawltrack sera alors inutile. Une autre solution consiste à insérer le code crawltrack dans le fichier contenant les identifiants d'accès à la BDD celui là est forcement lancé à chanque fois et avant qu'un script malicieux puisse devenir dangereux. -------------------- poser une question c'est être idiot 5 minutes, ne pas la poser c'est le rester toute sa vie.
poser une question c'est être idiot 5 minutes, ne pas la poser c'est le rester toute sa vie. Création de site internet et référencement de site internet avec paiement au résultat MS2/HeaderTags/Ultimate_SEO_URLs/products cross/ |
|
|
|
|
7 May 2009, 15:52
Message
#25
|
|
|
Ceinture jaune+ OSC Groupe : Membres Messages : 108 Inscrit : 8-December 08 Membre no 23888 |
Salut,
Donc il faudrait mettre le script dans le fichier catalog/includes/configure.php ?? Et dans le configure configure.php qui se trouve dans l'admin, pas besoin ??? Et ce fichier (du moins, le fichier contenant les identifiants d'accès à la BDD) est "lancé" à chaque clic sur le site, c'est ca ?? Merci -------------------- Version : oscommerce-2.2ms2-FR-060817-2010 - PHP Version 4.4.9
Addons/contribs installés : Ultimate SEO Urls v2.6 (18 Aug 2008)+ bug fix Full package - GoogleXMLSitemapv1.3 - Heardabout_1_2 - Whosonlineturbov1.1fr - Freeamount 3.5e-c - Carrousel Flash - Anonymat Client pour critiques - Grandes images au passage de la souris (évite le "cliquer pour agrandir") - previous_next w_details_v3.4.0 - Show_Model_Picture_v1 - Ajout formulaire pour qté produit dans description produit - Store Mode 1_3 - Search_Price_Range_Pulldown_Menu-1.1.1 - Colissimo_v1.8 - Loginbox_5.7 - OrderCheck_2.5.1c - Send HTML Email V.2.1 - Store Pick Up 1.5 - Dynamic_sitemap_v3.5.10 - Quick Updates 2.8.3 Full_1 - En cours : CCGV5.21 + OSC PDF Catalog 2.0.9 |
|
|
|
|
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
|
Version bas débit | Nous sommes le : 25th May 2013 - 19:43 |
| Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |