Bin ich gekapert worden??

[WeXsler]

da bin ich jetzt doch etwas beunruhigt!

(Shop - 1.06 rev 4642 SP2 utf-8 - läuft nun seit Anfang Dez. letzten Jahres.)

Habe gerade im Livezilla einen Seitenbesucher entdeckt, der auf einer Seite bei mir war, die üblicherweise im Livezilla gar nicht angezeigt wird da SSL-Bereich!

Code: PHP  [Auswählen]

http://www.meine-domain.de/checkout_success.php?MODsid=5f3797c818fedc193702d48a2fbd088a

Ich habe mir den Link kopiert und in den Browser eingegeben und die Seite angezeigt bekommen. Über die Druckansicht der angeblichen Bestellung (- Ihre Bestellung wurde erfolgreich an uns übermittelt! -), konnte ich dann sehen, dass es sich um eine meiner eigenen Testbestellungen im Shop von Ende Dezember letzten Jahres handelt!

Wie kann das jemand aus dem Netz fischen und sich anzeigen lassen??? Kann das ein bot evtl. aus der Datenbank auslesen?? Geht das wohl auch mit Kundenbestellungen? Was ist da bloß los?? Eine Sicherheitslücke?

Bitte dringen ein paar Ratschläge wie ich da wo was checken kann!!!!! Danke!

Linkback: https://www.modified-shop.org/forum/index.php?topic=32045.0

[p3e]

Wenn Du eingeloggt bist und auf die Seite /checkout_success.php gehst, und dann auf drucken klickst, ist es normal, dass die letzte Bestellung, die Du getätigt hast ausgedruckt wird, egal wie lange das her ist.
Das sollte Dich also nicht beunruhigen.

Mit dem Livezilla kenne ich mich nicht aus aber die /checkout_success.php ist soweit ich das richtig in Erinnerung habe wieder ohne SSL.

Du solltest aber keinen Link benutzen, wo die Session-ID angehängt ist weil dadurch das Sessionmanagement dadurch durcheinander geraten kann. Logge Dich also einmal aus, schließe und öffne Deinen Browser neu ( kann sein, dass dieser Schritt überflüssig ist aber sicher ist sicher) und logge Dich neu ein.

[WeXsler]

ja, so wie Du es schreibst ist es natürlich richtig. Wenn ich diesen Link im ausgeloggten Zustand oder auf einer Inkognito-Seite eingebe schickt mich der Browser automatisch hier hin

Code: PHP  [Auswählen]

http://www.meineDomain.de/shopping_cart.php?MODsid=f78148c7f0152d06c87149861d9abf0f

Insofern erstmal Erleichterung bei mir

Aber wie kommt jemand an diesen Session-Link ran? Wenn das zeitnah bei einem eingeloggten Kunden passiert?

Aber was ist das mit der Session-ID?? Kann ich selber einstellen, dass die nicht mit ausgegeben wird? 

[noRiddle (revilonetz)]

Die Session-ID wird nur in folgenden Fällen an die URL angehängt:

• Wenn Cookies akzeptieren im Browser aktiviert ist (bei den meisten Kunden so) einmalig bei Erstbesuch der Seite
• Wenn Cookies akzeptieren im Browser deaktiviert ist immer

Der zweite Fall ist natürlich nicht so schön.
Methode um zu verhindern, daß Schindluder mit Session-IDs begangen wird (z.B. Session-Fixation) wäre
- insofern der Shop keine XXS-Lücken hat -
im Backend unter Erweiterte Konfiguration => Sessions => 'Session erneuern' auf 'true' zu stellen.
'Cookie Benutzung bevorzugen' sollte aber auf 'false' stehen, da ansonsten Kunden mit im Browser deaktivierten Cookies nichts in den Warenkorb legen können, sprich, nicht einkaufen können.
Genauso sollte der Server mit session.use_only_cookies auf 'off' konfiguriert sein.
(Kannst du im Backend unter Hilfsprogramme => Server Info bei session.use_only_cookies nachschauen. Dort sollte zumindest der 'local value' bei manchen Servern auch der 'master value' (ausprobieren) auf 'off' stehen.)

Wenn du den o.g. Wert 'Session erneuern' auf 'true' stellst wird nach Einloggen auch einmalig die Session-ID angezeigt da sie neu generiert wurde.

Bitte nach Umstellen der 'Session erneuern' Shop-Funktionen testen !!

Gruß,
noRiddle

NACHTRAG:
session.use_trans_sid sollte in der Server-Konfiguration auch auf 'off' bzw '0' stehen.

[WeXsler]

ok. Im backend waren die beiden Punkte schon so eingestellt.

Sessions => 'Session erneuern' auf 'true' und
'Cookie Benutzung bevorzugen' auf 'false'

Ob das bei meiner damaligen Testbestellung auch schon so war, weiß ich jetzt nicht mehr - vermute es aber.

Serverseitig sieht das so aus, wobei nur der 'local value' der 'session.use_only_cookies' auf 'off' steht. Da kann ich wohl selbst nicht ran.

Gibt es hier in der Übersicht noch Optimierungsmöglichkeiten?

Code: PHP  [Auswählen]

Directive                         Local Value    Master Value
session.auto_start                Off             Off
session.cache_expire              180            180
session.cache_limiter             nocache        nocache
session.cookie_domain            .meinedomain.de no value
session.cookie_httponly           Off             Off
session.cookie_lifetime           0                0
session.cookie_path               /                 /
session.cookie_secure             Off             Off
session.entropy_file             no value        no value
session.entropy_length           0               0
session.gc_divisor                       100            100
session.gc_maxlifetime           1440            1440
session.gc_probability           100             0
session.hash_bits_per_character  4         4
session.hash_function            0                0
session.name                     MODsid    PHPSESSID
session.referer_check            no value       no value
session.save_handler             user            files
session.save_path                /tmp            /tmp
session.serialize_handler        php              php
session.upload_progress.cleanup On                   On
session.upload_progress.enabled On                   On
session.upload_progress.freq        1%             1%
session.upload_progress.min_freq 1                   1
session.upload_progress.name   PHP_SESSION_UPLOAD_PROGRESS PHP_SESSION_UPLOAD_PROGRESS
session.upload_progress.prefix upload_progress_ upload_progress_
session.use_cookies                 On               On
session.use_only_cookies          Off             On
session.use_trans_sid            0                   0
 

[Matt]

Wenn p3e Recht hat und die checkout_success.php wieder HTTP ist und du einen SSL-Proxy verwendest dann wird auch da immer eine Session-ID angehangen. Das gilt generell immer beim Wechsel von HTTP auf HTTPS und einem Proxy.

[WeXsler]

habe gerade nochmal eine Testbestellung via Firefox bei mir gemacht. Das Ergebnis:

Code: PHP  [Auswählen]

https://www.meinedomain.de/checkout_success.php

Also ohne Session-ID und mit https! So bleibt das Ganze merkwürdig, zumal die IP der ursprünglichen verdächtigen Linkanzeige - natürlich hinten gexxxt - nicht jwd zu finden ist, sondern in den Berliner Raum zeigt.

[Tomcraft]

Hast du den Link mit angehängter MODsid versehentlich mal per Mail verschickt?
Hast du einen Dienstleister aus dem Raum Berlin, der für dich am Shop arbeitet?

Grüße

Torsten

[Matt]

Die Aussagekraft von IP2Location-Datenbanken ist darüber hinaus, spätestens wenn es über die reine Länderebene hinausgeht, mit großer Vorsicht zu genießen. Telekom geht noch einigermaßen, alles andere kann man je nach Anbieter genauso gut mit dem Zufallsgenerator ermitteln.

[WeXsler]

@Torsten: Weder noch. Beides kann sicher ausgeschlossen werden. Kein Dienstleister, keine Modsid verschickt.
@Matt: IP2Location - Du meinst wegen der regionalen Eingrenzung? Mag sein. Die Modsid zieht sich der user ja aber nicht aus dem Nirwana. Da muß irgend etwas anderes los sein, zumal die Anfrage von einem Samsung AndroidOS kam. Das deutet doch auch eher auf eine natürliche Person hin.

[Matt]

Was sagt denn das Log? Welche Seiten hat diese IP denn vorher aufgerufen, was war der Einstiegspunkt und der Referrer für selbigen und ab welchem Zeitpunkt war die MODsid dran?

[Marcus Kreusch]

Sorry, wenn ich mich einmische, aber kann es nicht einfach sein, dass da jemand mit deaktivierten Cookies unterwegs war? Dann wird nun einmal eine Session-ID an die URL angehängt, was ja aber in keiner Weise verdächtig ist...

[Matt]

Der TE behauptet ja aber, das wäre eine Session-ID, die zu einer seiner Bestellungen gehört.

[p3e]

Nein, er hatte nur die Vermutung, weil er wenn er die URL eingibt, die letzte Mail ausgedruckt werden kann.
Das ist aber normal und hängt damit zusammen, dass er eh eingeloggt war (so habe ich das zumindest verstanden).
Ich gehe davon aus, dass das zwar verwirrend war, jetzt aber alles geklärt sein sollte.

[WeXsler]

Hallo Matt - Log - ähm ... . So weit bin ich im System noch nicht vorgedrungen - wo finde ich die benötigte Datei im System?

Wegen der Modsid. Da bin ich mir nicht sicher, wie das System hier arbeitet. Ursprünglich hatte ich ja den merkwürdigen Link komplett kopiert und einfach in einem neuen Browsertap eingegeben. Zu diesem Zeitpunkt war ich aber als admin eingeloggt und offenbar wird bei Eingabe eines Shoplinks grundsätzlich dann eine Verknüpfung zum Eingeloggten hergestellt. Wie das geht und warum das so ist weiß ich nicht. Jedenfalls wurde mir dann eine checkout.php mit der genannten Modsid ausgegeben und auf der Seite konnte ich über den entsprechenden Button die vorgebliche Bestellung zum Ausdrucken etc. anzeigen lassen. Das war nun eben meine letzte Testbestellung im Shop vom Dez. 14. Wenn ich das jetzt richtig verstanden habe wurde mir das nur deshalb so ausgegeben weil ich gerade eingeloggt war.

Gebe ich den Link in einen "unbelasteten" Browser ein, wird automatisch auf die:

Code: PHP  [Auswählen]

http://www.meineDomain.de/shopping_cart.php?MODsid=f78148c7f0152d06c87149861d9abf0f

geleitet. Allerdings wird auch hier eine Modsid mit übergeben.

Ich habe gerade nochmal ein neues Kundenkonto in einem unbelasteten Browser erstellt und dann besagte checkout.php mit der Modsid in einen neuen Browsertab eingegeben. Die checkout wird mit Modsid angezeigt und bei Klick auf "Druckansicht" kommt dann dieser nette Text::

Code: PHP  [Auswählen]

Ausgabe durch https://www.meinedomain.de/print_order.php?oID=

"You are not allowed to view this order!
Die Suche ergab keine genauen Treffer.
Möchten Sie noch einmal suchen?
Suchbegriff"

Zwar kommt man dann auch über diese checkout.php direkt in seinen account zurück, man sollte aber mit einem solchen Link nicht wirklich etwas anfangen können. Oder doch? Habe ich etwas übersehen?

Warum mir dann meine alte Testbestellung angezeigt wurde. als ich als admin eingeloggt war - keine Ahnung. Offenbar war ich als admin allowed to see this order ... .

Spannend finde ich immer noch die Frage, wie jemand zu diesem Link kommt! Wird denn bei deaktivierten cookies wirklich eine Modsid angehangen, wenn auch die checkout.php noch über SSL läuft?

Es wurde ja auch nichts bestellt. Es gab definitiv keinen Kundenlogin von dem Verursacher des Links! Wenn ich weiß wo sich dieses Logfile versteckt, schaue ich da aber gerne noch mal rein!