Thema: Sicherheitsproblem bei Bewertungen

Selo · **am:** 16. Januar 2013, 17:24:39

In meinem Shop hat sich ein Sicherheitsproblem bei den Bewertungen gezeigt.
Ohne ein Kundenkonto oder als Gastbesteller schreibt jemand Spam als Bewertungen. Als Name des Schreibers steht ein Punkt. Das Problem ist bereits einige mal aufgetreten.
Um eine Bewertung schreiben zu können muss man ja eingeloggt sein, sonst erscheint nicht der Link http://www.liebe-natur.de/product_reviews_write.php zur Produktbewertung.

Hat jemand eine Idee, wie man das verhindern kann?

Viele Grüße von Lothar

Linkback: https://www.modified-shop.org/forum/index.php?topic=24178.0

Matt · **Antwort #1 am:** 16. Januar 2013, 17:40:59

Das stimmt nur bedingt. In deinem Template gibt es einen Link auf das Bewertungsformular, der aber wohl durch CSS ausgeblendet ist. Das ist dem Spammer aber egal.

Genauso gut kann es sein, dass er einfach den Link mit beliebigen Produkt-IDs aufruft und dann was schreibt. Um das zu verhindert musst du auf products_review_write.php auch noch mal prüfen, ob der User eingeloggt ist.

Selo · **Antwort #2 am:** 16. Januar 2013, 17:56:34

Danke Matt,
dass man das Formular auch so aufrufen kann, wusste ich bisher noch nicht. In der Zwischenzeit habe ich im Forum einen interessanten Eintrag gefunden, wie man das Formular besser überwachen kann:
http://www.modified-shop.org/forum/index.php?topic=10213#post-100289

Ich werde ich versuchen, alles was nach Link und Spam aussehen kann, zu blockieren und den Rest muss ich dann eben manuell löschen.

Viele Grüße von Lothar

noRiddle (revilonetz) · **Antwort #3 am:** 16. Januar 2013, 21:02:15

Man kann doch bei der Kundengruppe bestimmen ob Bewertungen geschrieben werden dürfen.
Bei "Gast" einfach deaktivieren.
Da wird nix mit CSS ausgeblendet.

Ich habe des weiteren das Bewertungsformular mit einem Rechen-Captcha (oder dem Original-Captcha) versehen.

Gruß,
noRiddle

*NACHTRAG*
Daß da nur ein Punkt erscheint bei "Name" ist ein Bug.
Seit der Name gekürzt wird zu M. Mustermann anstatt Max Mustermann, wird bei einer Gastbestellung, wo der Name durch die Konstante TEXT_GUEST gefüllt wird, nur noch ein Punkt angezeigt.

*NACHTRAG II*
Ach, und kann am einfachsten gefixt werden indem man in /product_reviews_write
hier drunter

Code: PHP [Auswählen]

//BOF - Dokuman 2010-01-11 - shorten the reviewer's name from "Max Mustermann" to "Max M."

das

Code: PHP [Auswählen]

.addslashes($customer_values['customers_lastname'][0].'.').

mit dem ersetzt

Code: PHP [Auswählen]

.addslashes($customer_values['customers_lastname']).

*NACHTRAG III*
Ist in der 1.06 gefixt, allerdings anders als ich hier vorgeschlagen habe...

Selo · **Antwort #4 am:** 16. Januar 2013, 23:25:24

Hallo noRiddle,

vielen Dank. Ich werde das gleich nach Deinen Hinweisen ändern. Seit ich weiß, dass das keine Sicherheitslücke ist, ist mir auch etwas wohler.

Viele Grüße und noch einen schönen Abend wünscht Lothar

Thema: Sicherheitsproblem bei Bewertungen

Selo

Sicherheitsproblem bei Bewertungen

Matt

Re: Sicherheitsproblem bei Bewertungen

Selo

Re: Sicherheitsproblem bei Bewertungen

noRiddle (revilonetz)

Re: Sicherheitsproblem bei Bewertungen

Selo

Re: Sicherheitsproblem bei Bewertungen

Teile Thema

Ähnliche Themen

evtl. ein Sicherheitsproblem?

Sicherheitsproblem ?! Was geht da vor sich ???

Session ID Problem / Sicherheitsproblem

Bewertungen auflisten / Anzahl der Bewertungen