osCommerceITalia

comunità di utenti e sviluppatori italiani per osCommerce
http://oscommerceitalia.com/forums/

TOPIC CALDO ! [sicurezza in oscommerce]

http://oscommerceitalia.com/forums/viewtopic.php?t=7462

Pagina 1 di 1

TOPIC CALDO ! [sicurezza in oscommerce]

Inviato: 23/11/2006, 1:04
da maury2ma
ebbene oggi leggendo una rivista 'mi pare linux magazine',
ho letto dell'ennesima carenza di sicurezza in oscommerce.
ora vi chiedo : vi va di postare un elenco di contrib "fondamentali per la sicurezza" del nostro sito ? (compresa spam)

ecco un inizio :

never orders at value zero (versione semplice per evitere il cambio di valuta)
http://www.oscommerce.com/community/contributions,4573
Sanitize modified for general.php (per evitare iniezioni di codice all'interno delle text area)
http://www.oscommerce.com/community/contributions,4232
Prefisso alle tabelle (sempre per evitare attacchi di iniezioni sql su tabelle "standard")
http://www.oscommerce.com/community/contributions,3214

registrazione con e-mail di conferma,
registrazione con antirobot per evitare spam,
contattaci e consiglia ad un amico con anti robot per lo spam

altre idee ?

Re: TOPIC CALDO ! [sicurezza in oscommerce]

Inviato: 23/11/2006, 20:48
da marcus
maury2ma ha scritto: never orders at value zero (versione semplice per evitere il cambio di valuta)
http://www.oscommerce.com/community/contributions,4573
Si tratta di un bug critico in quanto teoricamente è possibile acquistare beni digitali a costo zero.

La soluzione proposta nel link non risolve completamente il problema.

Se ad es il codice della valuta dollaro viene inserito dal merchant erroneamente in minuscolo (usd), il problema si ripresenta.

Il bug effettivo non si trova nella classe currencies, ma nella query interna alla funzione tep_currency_exists:

Codice: Seleziona tutto

$currency_code = tep_db_query("select currencies_id from " . TABLE_CURRENCIES . " 
where code = '" . tep_db_input($code) . "'");
La query non tiene conto di una caratteristica della select di MySQL che, a differenza di Oracle, è case insensitive. Questo fa si che se è presente, ad es, il codice di valuta USD, anche il codice Usd o usd, risulta rilevato dalla query.

D'altra parte il PHP è case sensitive, quindi il codice valuta risulta inesistente e, conseguentemente, il valore rispetto alla valuta di default risulta zero.

Il fix corretto a questo bug consiste nel modificare la query in modo da tener conto del case del codice valuta, aggiungendo la parola chiave "binary":

Codice: Seleziona tutto

function tep_currency_exists($code) {
	$code = tep_db_prepare_input($code);

	$currency_code = tep_db_query("select currencies_id from " . TABLE_CURRENCIES . " where binary code = '" . tep_db_input($code) . "'");
	if (tep_db_num_rows($currency_code)) {
		return $code;
	} else {
		return false;
	}
}

Saluti
Marcus

Inviato: 24/11/2006, 12:37
da maury2ma
corretto.
sai percaso di come fare per evitare attacchi croos-site ?
http://www.securityfocus.com/bid/20343

ho trovato qualcosa per le iniezioni sql, ma per i cross-site nulla.

secondo te inplementare la sicurezza con wasp
http://savannah.nongnu.org/projects/wasp/

esattamente inserendo il file php_sec.php
nella cartella includes
e poi modificando application_top.php
aggiungendo in cima :

Codice: Seleziona tutto

<?php
/*
  $Id: application_top.php,v 1.280 2003/07/12 09:38:07 hpdl Exp $

  osCommerce, Open Source E-Commerce Solutions
  http://www.oscommerce.com

  Copyright (c) 2003 osCommerce

  Released under the GNU General Public License
*/

// start the timer for the page parse time log
  define('PAGE_PARSE_START_TIME', microtime());

// BOF include protection sql injection
include("includes/php_sec.php");

    if (sec_paranoid_check_all_params() == true)
    {
        die("
        <!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\">
        <html>  <head>
        <title>ERROR</title>
        <meta content=\"\"/>
        <meta http-equiv=\"Refresh\"content=\"0;URL=/index.php\"/>
        </head>
        <body></body>
        </html>
        ");
    }
// EOF protection
e' superfluo oppure no ?

qualcuno sa fare iniezioni sql per sapere se con il wasp e' piu' sicuro ?

Inviato: 24/11/2006, 16:23
da maury2ma
mi rispondo da solo : troppo lavoro per configurarlo.
ogni pagina deve gestire tutte le variabili possibili e quelle "impossibili"
Tutti gli orari sono UTC+02:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Italia.it