Gelöst JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

ichbinsmal

Gut bekanntes Mitglied
20. Dezember 2008
353
0
Hallo,
ich stehe mit meinem Shop auf einigen "Crack" Seiten :eek: ... z.B. http://board.kingsize-crew.cc

Dort ist zu lesen:
################
#Shopsoftware: JTL-Shop 2 #
#Found by: ValiD-CC #
#Location: Germany #
#AdminPath: /admin/ #
#Dork: inurl:warenkorb.php " Kupon einlösen" #
#Example: http://www.meineshopurl.de/shop/warenkorb.php #
#PostParameter: &Kuponcode=' or 1='1 #
#Greetz to kingsize-crew.cc #
############################

Nun bin ich doch ziemlich beunruhigt ...

Was soll das bedeuten?
Was für Schaden kann angerichtet werden?
Wie stelle ich die Sicherheitslücke ab?

Danke an alle!!
Gruss
Frank
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
743
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Es gibt Scripts, welche derartige Hacks abfangen. Ich schicke dir eine PM, da die Unkenntnis über das Script dem Schutzfaktor zu Gute kommt...
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
743
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Siehe PM. Das Script ist für ein anderes Shopsystem modifiziert, funktioniert im Prinzip aber mit jedem PHP basierenden Shop. Dabei fängt es diverse bekannte Hackstrings ab - wenn die Hacker die Liste kennen, können sie natürlich anders darauf zugreifen. Deswegen an dieser Stelle kein Link.

Einige Sicherheitslücken müssen aber im Shopscript selbst behoben werden, ich kenne JTL-Shop nicht und kann da nichts zu sagen. Bei XTC habe ich die Lücken (hoffentlich) alle gefixt.
 

wwwKaufeDichReichde

Aktives Mitglied
27. September 2007
218
0
Chemnitz
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Siehe PM. Das Script ist für ein anderes Shopsystem modifiziert, funktioniert im Prinzip aber mit jedem PHP basierenden Shop. Dabei fängt es diverse bekannte Hackstrings ab - wenn die Hacker die Liste kennen, können sie natürlich anders darauf zugreifen. Deswegen an dieser Stelle kein Link.

Einige Sicherheitslücken müssen aber im Shopscript selbst behoben werden, ich kenne JTL-Shop nicht und kann da nichts zu sagen. Bei XTC habe ich die Lücken (hoffentlich) alle gefixt.



Würde mich auch auf einer PM Freuen. Danke im Voraus.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Ich werde euch nach Möglichkeit bei der Implementierung eines Grundschutzes helfen. Ich bin allerdings gerade auf einer Firmenweihnachtsfeier - komme also erst morgen ernsthaft dazu.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Im Unterschied zur oben per PM gesendeten Lösung, hat die SSEQ-LIB Sicherheitsbibliothek keine Komponenten, die durch Einsicht des Codes die Sicherheit beeinträchtigen. Durch die spezielle Implementierung ist es möglich, einen Grundschutz zu installieren durch die Anpassung einer einzigen Datei im System. Ich kann aber im Moment ohne die betreffende Software zu sehen, keine weitere sinnvolle Anleitung geben.
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
300
Köln
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hallo zusammen,

wir werden hierzu kurzfristig einen Release (2.18 - es ist nicht das lang ersehnte, große Release) mit einem Fix hierzu (und einigen anderen Dingen) bereitstellen.

Durch die oben gepostete Anleitung kann ein Angreifer im Shop einen gültigen Kupon einlösen, ohne den Kupon-Code zu kennen. Allerdings müssen alle anderen Dinge wie Mindestbestellwert, Beschränkungen auf Kategorien / Artikelnummern, Gültigkeitsdatum, etc. weiterhin stimmen.

Da es sich um einen Sicherheitsbug handelt, wird es dieses Bugfix Release geben.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Durch die oben gepostete Anleitung kann ein Angreifer im Shop einen gültigen Kupon einlösen, ohne den Kupon-Code zu kennen. Allerdings müssen alle anderen Dinge wie Mindestbestellwert, Beschränkungen auf Kategorien / Artikelnummern, Gültigkeitsdatum, etc. weiterhin stimmen.

Es ist eine klassische SQL-Injection Schwachstelle. Es lässt sich durch "blind SQL injections" - zumindest theoretisch - viel tiefer in die Datenbank blicken.

Das Anmeldeformular scheint übrigens für Cross-Site-Scripting-Angriffe anfällig zu sein.
 

ichbinsmal

Gut bekanntes Mitglied
20. Dezember 2008
353
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Spitzen Support !!!
Superschnell reagiert ... klasse !!!!!



Habe das Sicherheitspatch gerade eingespielt (bzw. nur die geänderten Dateien hochgeladen)
... so wie ich das sehe, klappt noch alles ;)


Fragt sich nur, ob ich schon "gehackt" wurde oder nicht ...
Kann man (ich?) das irgendwie feststellen? :confused:
Danke :cool:
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
743
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Das Anmeldeformular scheint übrigens für Cross-Site-Scripting-Angriffe anfällig zu sein.

Das meinte ich ja. Ich glaube kaum, dass ein Hacker daran interessiert ist, mit Kupon bei einem einzukaufen und den Restbetrag zu überweisen :rolleyes:

Die wollen Kundendaten inkl. Konto-/Kreditkarteninformationen etc. zum Weiterverkauf oder Zugang zum Server für SPAM-Bots.
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
300
Köln
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hi,

Fragt sich nur, ob ich schon "gehackt" wurde oder nicht ...
gehackt wurdest du nicht. Durch das Sicherheitsproblem könnte ein Angreifer einen allgemeingültigen Kupon einlösen, ohne den Code zu haben.

Die wollen Kundendaten inkl. Konto-/Kreditkarteninformationen etc. zum Weiterverkauf oder Zugang zum Server für SPAM-Bots.
KK Daten werden shopseitig nicht gespeichert, da externe Zahlungsanbieter genutzt werden.
 

webstar

Sehr aktives Mitglied
10. Dezember 2007
594
46
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hallo,

ist es richtig das man nur mit Subscriptionsverlängerung in Genuss eines Sicherheitsupdates dieser gravierenden Sicherheitslücke kommt ?

mfg
webstar
 

Marcel

Sehr aktives Mitglied
14. September 2006
7.153
5
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Nur wenn Du den Shop vor länger als einem Jahr gekauft hast. Denn ab Kaufdatum ist ja bereits 1 Jahr Subscriptionszeit enthalten.
 

argy

Gut bekanntes Mitglied
30. Juni 2007
908
2
Bitterfeld
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

das is aber nich wirklich in ordnung muß ich mal sagen...
is ja nur ein sicherheitsupdate....
das sollte für alle verfügbar sein...
 

Marcel

Sehr aktives Mitglied
14. September 2006
7.153
5
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Ich hab mich damit ja auch nur darauf bezogen, ob/wann der Link zum Download in der Filebase ersichtlich ist.
 

argy

Gut bekanntes Mitglied
30. Juni 2007
908
2
Bitterfeld
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

das mit der sub...-zeit is ja klar...
aber meint ihr nicht dass es allen euren kunden zusteht einen SICHERHEITS-patch zu bekommen auch ohne verlängerung?
gibt ja vielleicht auch leute die nicht unbedingt updaten wollen und außer dem patch is ja keine neuerung drin...
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu PromoBar-Portlet für JTL-Shop 5 – Aktionsleiste, Gutschein & Countdown Plugins für JTL-Shop 0
Neu JTL-Shop-Template Technik – optimiert für Performance & Conversion Templates für JTL-Shop 1
Neu GA4-Tracking für JTL-Shop 5 – sauberes E-Commerce & Kategoriepfade Plugins für JTL-Shop 0
Neu Artikelseiten 500 HTTP Fehler PayPal Plugin 2.1.0 JTL Shop 5.4.0 Plugins für JTL-Shop 4
Neu Rechnungsnummer an JTL-Shop übertragen Technische Fragen zu Plugins und Templates 0
Neu Kundenübernahme Shopware zu JTL Shop - Länderzuweisung User helfen Usern - Fragen zu JTL-Wawi 1
Kunden im JTL Shop sichtbar ? Einrichtung JTL-Shop5 7
Neu JTL Shop 5: ein Kundenkonto in der WAWI mit mehreren Konten im Webshop Allgemeine Fragen zu JTL-Shop 7
Neu ecomdata offline? Shop und JTL Wawi nicht erreichbar User helfen Usern - Fragen zu JTL-Wawi 16
Neu JTL Shop 5 Probleme mit Anlegen eines Kundenaccounts Allgemeine Fragen zu JTL-Shop 4
Neu JTL PayPal Checkout 5.3.0 mit Shop 5.5.2 - Artikel nur sichtbar wenn Kunde eingeloggt ist oder Artikel nicht verfügbar ist Plugins für JTL-Shop 6
Neu Session Blocking JTL-Shop 5.5.1 JTL-Shop - Fehler und Bugs 0
Neu Sortierung Artikel Wawi - JTL Shop Allgemeine Fragen zu JTL-Shop 1
Neu Eigene Felder - Sortierung wird nicht in JTL Shop übernommen - Anzeige im Shop immer unterschiedlich User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL Shop (anderes Template) eigene Felder aus Wawi als TAB im Shop User helfen Usern - Fragen zu JTL-Wawi 12
Neu JTL-Shop Lieferanten Artikelnummer und Suchbegiffe für Onlineshop werden im Shop nicht gefunden Allgemeine Fragen zu JTL-Shop 5
Neu Behandlung von JTL Shop Coupons und Retouren in JTL Wawi Arbeitsabläufe in JTL-Wawi 0
Neu Welche Alternativen zu JTL-Shop JTL-Shop - Ideen, Lob und Kritik 9
Neu JTL Shop 5.5.1 Lieferland kann bei abweichender Lieferadresse nicht ausgewählt werden JTL-Shop - Fehler und Bugs 9
Neu JTL Shop: Ausblenden von Unterkategorien (In der Mitte) möglich ? Allgemeine Fragen zu JTL-Shop 0
Neu JTL Shop 5.5 Tips für bessere Performance? Allgemeine Fragen zu JTL-Shop 7
Neu JTL Debug 2.0.4 und Shop 5.5.2 - Fehler 500 Plugins für JTL-Shop 3
Neu Sprechende URLs & Sprachlogik im JTL-Shop – Wer hat’s schon umgesetzt? Allgemeine Fragen zu JTL-Shop 1
Neu JTL Shop 5.5.2 Startseite Breite ändern Allgemeine Fragen zu JTL-Shop 1
Neu .php-cs-fixer.php - nicht identisch mit den Dateien der aktuellen Version von JTL-Shop JTL-Shop - Fehler und Bugs 3
Neu JTL-Shop: Anzeige der Artikel aus untergeordneten Kategorien Allgemeine Fragen zu JTL-Shop 2
Warnmeldung JTL-Shop Anbindung nach Update JTL-Wawi 1.10 5
Neu Erfahrungen gesucht: Custom Shop (Next.js/React) an JTL-Wawi anbinden Allgemeines zu den JTL-Connectoren 5
Barrierefreiheit mit Upgrade auf JTL-Shop 5.5 erledigt? Einrichtung JTL-Shop5 24
Beantwortet Kontaktformulare im JTL Shop Betrieb / Pflege von JTL-Shop 1
Neu Gleiche Designvorlage für eBay und JTL-Shop mit globalen Textbausteinen nutzen Allgemeine Fragen zu JTL-Shop 1
Neu Guthaben-Funktion in JTL Shop ohne MwSt. buchhalterisch nicht abbildbar JTL-Shop - Ideen, Lob und Kritik 17
Neu JTL Shop 5.5.1 : Lieferzeit wird mit "0 Werktagen" ausgegeben, obwohl Lieferzeiten bei Versandarten hinterlegt sind JTL-Shop - Fehler und Bugs 3
Neu Exportformate liefern nur netto Werte für Versandkosten seit JTL Shop 5.5.0 Betrieb / Pflege von JTL-Shop 6
Neu JTL Consent Manager - Alles ablehnen Button? Plugins für JTL-Shop 3
Neu Discount Regeln in JTL hinterlegen und zu Woocommerce synchronisieren WooCommerce-Connector 0
Neu Probleme mit der Email über jtl hosting (plesk) User helfen Usern 2
Neu PIM -> Shopware 6 <-> JTL Shopware-Connector 2
JTL Wawi App Bestände pflegen JTL-Wawi App 0
Neu JTL POS Zahlvorgang JTL-POS - Ideen, Lob und Kritik 1
Neu Aus JTL Wawi übernommene Aufträge in JTL POS ergänzen JTL-POS - Ideen, Lob und Kritik 0
Neu JTL STAMMTISCH HANNOVER Messen, Stammtische und interessante Events 0
Neu JTL STAMMTISCH BERLIN Messen, Stammtische und interessante Events 0
Neu JTL STAMMTISCH MÜNCHEN Messen, Stammtische und interessante Events 0
Neu POS Server JTL Wawi 1.10.14.0 Einrichtung / Updates von JTL-POS 1
Neu JTL-WMS + eazyShipping: Versandart & Gewicht automatisch beim Scan (Stücklisten) Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
JTL Wawi: Kompatibel mit WPC Product Bundles for WooCommerce JTL-Wawi 1.9 0
Neu Fehler beim Übertragen von Bildern JTL - Shopware Thumbnail Problem height width dürfen nicht leer sein Shopware-Connector 5
Neu Welche URLs/Ports werden für den JTL Worker benötigt? User helfen Usern - Fragen zu JTL-Wawi 8
JTL-Workflows >> Aufträge >> Ausgeliefert >> Abrechnungsposition für Versandkosten hinzufügen JTL-Wawi 1.10 3

Ähnliche Themen