Ciao,
ho scoperto (a mie spese) una falla di sicurezza di OSCommerce.
Esiste una pagina senza controllo di sessione che consente, tramite POST, di caricare un files sul server.
Caricando un file che consente la gestione di files, si può fare ciò che si vuole nel malcapitato sito peraltro in maniera piuttosto semplice.
Ora, ditemi se proseguire con la descrizione, non vorrei segnalare la cosa a persone malintenzionate che si potrebbero divertire tranquillamente a "bucherellare" i ns. shops. In alternativa lo posto agli amministratori in privato per poter approfondire il problema.
Riscontrato problema di sicurezza
Moderatore: mod Generali
-
applevision
- membro Junior
- Messaggi: 12
- Iscritto il: 21/08/2006, 22:01
Re: Riscontrato problema di sicurezza
Inviami i dettagli in Pm .applevision ha scritto:Ciao,
ho scoperto (a mie spese) una falla di sicurezza di OSCommerce.
Esiste una pagina senza controllo di sessione che consente, tramite POST, di caricare un files sul server.
Caricando un file che consente la gestione di files, si può fare ciò che si vuole nel malcapitato sito peraltro in maniera piuttosto semplice.
Ora, ditemi se proseguire con la descrizione, non vorrei segnalare la cosa a persone malintenzionate che si potrebbero divertire tranquillamente a "bucherellare" i ns. shops. In alternativa lo posto agli amministratori in privato per poter approfondire il problema.
Nel caso sia necessario metteremo un post in rilievo con dettagli e fix allegato.
Saluti
Marcus
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
Visita la demo: http://oscpro.oscommercedev.com/index.php
Re: Riscontrato problema di sicurezza
Un altro buon motivo per usare FCK editor 
messo in evidenza cmq... grazie marcus!
messo in evidenza cmq... grazie marcus!La funzione CERCA si trova sotto al logo Oscommerce italia in questa pagina. - I Love Marketing!
I miei preferiti: internet marketing blog - biancheria da letto - prodotti tipici piemonte - vini piemontesi - roero arneis
I miei preferiti: internet marketing blog - biancheria da letto - prodotti tipici piemonte - vini piemontesi - roero arneis
Re: Riscontrato problema di sicurezza
nn ho capito ma il bug sta su osc o sull'editor installato? in tal caso hsg26 puoi spiegarmi meglio la cosa in pvt se non è un disturbo?hsg26 ha scritto:Un altro buon motivo per usare FCK editor
Grazie
VHosting Solution
Web Hosting Da 26 Euro Annuo
OsCommerce Hosting 144 Euro Annuo
15% di sconto con il codice: OSC-Member su WebHosting - OSC Hosting
http://www.vhosting-it.com
info@vhosting-it.com
Web Hosting Da 26 Euro Annuo
OsCommerce Hosting 144 Euro Annuo
15% di sconto con il codice: OSC-Member su WebHosting - OSC Hosting
http://www.vhosting-it.com
info@vhosting-it.com
Re: Riscontrato problema di sicurezza
Il problema è imputabile alla contrib htmlarea e non al codice originale di osCommerce. Al momento non sono stati rilevati bug analoghi con altri editor Web quali FCK o TinyMCE.vampire ha scritto:nn ho capito ma il bug sta su osc o sull'editor installato? in tal caso hsg26 puoi spiegarmi meglio la cosa in pvt se non è un disturbo?hsg26 ha scritto:Un altro buon motivo per usare FCK editor
Grazie
Saluti
Marcus
Ultima modifica di marcus il 18/06/2009, 1:56, modificato 2 volte in totale.
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
Visita la demo: http://oscpro.oscommercedev.com/index.php
Re: Riscontrato problema di sicurezza
grazie marcus
VHosting Solution
Web Hosting Da 26 Euro Annuo
OsCommerce Hosting 144 Euro Annuo
15% di sconto con il codice: OSC-Member su WebHosting - OSC Hosting
http://www.vhosting-it.com
info@vhosting-it.com
Web Hosting Da 26 Euro Annuo
OsCommerce Hosting 144 Euro Annuo
15% di sconto con il codice: OSC-Member su WebHosting - OSC Hosting
http://www.vhosting-it.com
info@vhosting-it.com