Múltiples vulnerabilidades en Oscommerce 2.2 RC2a

Iniciado por WHK, 18 Junio 2009, 05:22 AM

0 Miembros y 1 Visitante están viendo este tema.

Man-In-the-Middle

Dios Tio, eres la leche XD, gracias a diossss que ya habia dejado el osc hace buen tiempo, ahoraa me preocupa algo y a nivel alto, zetacart, prestashop y demas tiendas virtuales son copias del osc, osea que es mas que seguro peten!!, y ahoraaa pendejooo , yo que estab instalando el presta en milkaholic XDDD , jajaj , ya hablaos por el msn

WHK

Se nota que aman su proyecto porque todavía no me han respondido el tracker por lo menos para decir que ya lo saben  :P , de seguro están de vacaciones.

ralepuz

#12
Hola,
gran aporte, desconocia el tema tan en detalle.
Ahora mismo estoy instalando contribuciones de seguridad en mi tienda oscommerce y por lo que leo en Oscommerce 2.2 RC2a hay una vulnerabilidad importante debido a las llamadas eval() en php.¿Por qué? ¿Esto lo puedo solucionar de alguna forma?
Por lo que tengo ententido en la versión 2.3 ya no se realizan este tipo de llamadas. Y no me gustaría tener que actualizarme debido a que tengo mas de 30 contribuciones instaladas y sería un jaleo.
Me recomiendas algo??

Muchas gracias!!  :-*



www.rafaalepuz.com

Cleantesdeasso

Buenas. Entiendo el 20 x ciento, pero agradezco tu magnanima accion. Muchas gracias, leerleerleer... leo mientras bebo baldes...
"Que no!! q el hash hay q crakiarlo!!"

dimitrix

Con todo el respeto, es tan penoso que ni haría falta verlo. Es decir OsCommerce, lo peor de lo peor, lo he utilizado 1000 veces y siempre tiene fallos a punta pala, ya no contar los 150 XSS, sino de que los productos te salgan a 0€, que el carro te salga como pagado, etc...




:ohk<any>

Y es que a veces pienso que si no estuviera loco no podría salir adelante.
Lo que no se es capaz de dar, en realidad no se posee, uno es poseído por ello.

pinchonazos

Gracias por todas estas indicaciones tan utiles.

Tengo un Oscommerce con unos tres años de trabajo encima, que me lo han reventado por multiples sitios.

Lo unico malo es que comemos unas pocas personas que no teniamos otro trabajo y mandamos paquetes con cosas de bajo precio para ganarnos la vida.

Llevo una semana intentando buscar una tienda online que sea mas segura.

Es en esto en lo que os pido consejo, y como por ejemplo poner algo mas seguro el ADMIN



Si el Oscommerce funcionase, mejor que mejor, porque la gente que trabaja no esta muy cualificada y ese programa lo ve sencillo.

Si no vale bien, cogere otro que no este basado en este, porque se listan los ficheros y todo (menuda guarreria, pa que cojones se listan los ficheros si uno los edita con el FTP)

Anda, hechadme una manilla que llevo unos pocos dias preocupado.

No se si el htaccess en el Admin (que seria doble clave) serviria, la cuestion es que el FTP y la base de datos me la han fusilado y llenado de troyanos, que aunque he ido limpiando uno a uno , algun codigo malicioso debe quedar.


Muchas gracias de antemano a todos, a ver si consigo algo mas seguro.


pinchonazos

No hay nadie por aqui?

Disculpadme si no me explico bien, siento ser un poco burro en esto.

No se si alguno de ustedes podria auditarme un sitio, pagandolo, claro.

Si alguien nos hecha una mano, buenamente os lo agradezco.

Tambien tengo un wiki, bicipedia, que me lo han roto varias veces, y lo he ido arreglando aunque alguna vez he tardado mas de un mes.

Si alguno necesita trabajo, digo yo que que mejor que trabajar en lo que le gusta no?

WHK

el problema amigo es que para asegurar el oscommerce habría que reescribirlo todo denuveo, es una masa de código mal hecha llena de fallos por todos lados sin mencionar los csrf en las cartas de compra y las subidas arbitrarias de archivo en el panel de admin.

Yo en lo personal utilizo joomla con virtuemart, no es 100% infalible pero por lo menos si es muchisimo mas seguro que oscommerce y mas completo.

por ejemplo ayer encontré una falla, entra a cualquier oscommerce y agrega a tu carro de ocmpras 99999999999999 unidades de un solo producto y verás que matemáticamente arroja un error al utilizar integers y no floats y te cobra 3 pesos o 3 euros, asi que normalmente puedes descargar todos los files que quieras de un socommerce en esas webs que puedes descargar archivos por pagar ^^

pd: la tienda virtual de googlestore utiliza oscommerce.

kalimoro

Siento muchisimo revivir el tema muerto, pero estoy protegiendo una web con Oscommerce 2.2 RC2a, y la tengo configurada de tal modo que al entrar al directorio admin te salte el tipico popup para pedirte el user y pass, y luego, cuando los has ingresado, ya te pide los datos de admin de oscommerce
Nose si con esa seguridad me podrian seguir atacando la web, y si es asi, ¿cómo?
Saludos y gracias