Support
Download
Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
    Spenden
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:
    Spenden
    • Seiten: 1 Nach unten

    Thema: Potentielle XSS-Sicherheitslücke im modified eCommerce Shopsoftware 1.05

    Cabalon-Team

    • Experte
    • Beiträge: 23
    Potentielle XSS-Sicherheitslücke im modified eCommerce Shopsoftware 1.05
    am: 27. April 2011, 00:22:57
    Hallo Gemeinde,

    in der aktuellen Version wird in Zeile 67 der application_top.php die global verwendete $PHP_SELF-Variable definiert.

    Diese Variable wird, wie der Name sagt, durch $_SERVER['PHP_SELF'] initialisiert.

    Verwendet man $PHP_SELF nun ohne diese vorher entsprechend zu escapen, öffnet man Angreifern eine bekannte Möglichkeit zum Cross-Site-Scripting (XSS).

    Die in Zeile 69-79 genutzten regulären Ausdrücke zum Validieren der Variable, scheinen nicht wirklich dazu gedacht zu sein, einen solchen Angriff zu unterbinden.

    Die Verwendung von $_SERVER['SCRIPT_NAME'] zum Initialisieren der Variable wäre ein möglicher Patch.
    Eventuell kann es hierbei zu Inkompatibilitäten mit bisherigen Modulen kommen.

    Beste Grüße,
    Mitch



    Linkback: https://www.modified-shop.org/forum/index.php?topic=12540.0

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 46.367
    • Geschlecht:
    Potentielle XSS-Sicherheitslücke im modified eCommerce Shopsoftware 1.05
    Antwort #1 am: 27. April 2011, 06:02:00
    Hallo Mitch,

    das wurde im Trunk bereits in r1531:1533, r1545 korrigiert:

    Code: PHP  [Auswählen]
    // set php_self in the local scope
    //BOF - GTB - 2010-11-26 - Security Fix - PHP_SELF
    $PHP_SELF = $_SERVER['SCRIPT_NAME'];
    /*$PHP_SELF = $_SERVER['PHP_SELF'];
    //--- SHOPSTAT -------------------------//
    if (preg_match("/\.html$/",$PHP_SELF) )
        {
        if(!preg_match("/\.html$/",$_SERVER['SCRIPT_NAME']))
            {
            $PHP_SELF = $_SERVER['SCRIPT_NAME'];
            }
        elseif(!preg_match("/\.html$/",$_SERVER['SCRIPT_FILENAME']))
            {
            $PHP_SELF = $_SERVER['SCRIPT_FILENAME'];
            }
        }
    //--- SHOPSTAT -------------------------//*/
    //EOF - GTB - 2010-11-26 - Security Fix - PHP_SELF
     

    Sick

    • Fördermitglied
    • Beiträge: 570
    • Geschlecht:
    Potentielle XSS-Sicherheitslücke im modified eCommerce Shopsoftware 1.05
    Antwort #2 am: 28. Juni 2011, 14:43:30
    Moin,
    ich habe diesen Beitrag gerade durch Zufall gefunden.
    Ich habe mir auch gleich mal die aktuellste Version 1.05. runtergeladen und nachgeschaut.
    Dort ist der Fix noch nicht drin.

    Wieso pinnt man sowas nicht an, bzw. macht es den Usern deutlich, dass es einen Sicherheitsfix gibt?

    Ich schlage dringend vor ein Unterforum "Security" einzurichten, in dem dann solche Beiträge gesammelt werden können.

    Gerade Sicherheit ist doch heutzutage das A und O im E-Commerce...

    Gruß

    Modulshop - Eine große Auswahl an neuen und hilfreichen Modulen für die modified eCommerce Shopsoftware
    Seiten: 1 Nach oben
    Text oder Bild in erster Kategorie?Bestellungen nicht leserlich

    Teile Thema

    Ähnliche Themen

    Unterstützt die Entwicklung
    mit einer Spende
    SMF 2.0.19 | SMF © 2020, Simple Machines | Sitemap
    © 2024 modified eCommerce Shopsoftware