Gelöst JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

ichbinsmal

Gut bekanntes Mitglied
20. Dezember 2008
353
0
Hallo,
ich stehe mit meinem Shop auf einigen "Crack" Seiten :eek: ... z.B. http://board.kingsize-crew.cc

Dort ist zu lesen:
################
#Shopsoftware: JTL-Shop 2 #
#Found by: ValiD-CC #
#Location: Germany #
#AdminPath: /admin/ #
#Dork: inurl:warenkorb.php " Kupon einlösen" #
#Example: http://www.meineshopurl.de/shop/warenkorb.php #
#PostParameter: &Kuponcode=' or 1='1 #
#Greetz to kingsize-crew.cc #
############################

Nun bin ich doch ziemlich beunruhigt ...

Was soll das bedeuten?
Was für Schaden kann angerichtet werden?
Wie stelle ich die Sicherheitslücke ab?

Danke an alle!!
Gruss
Frank
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
742
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Es gibt Scripts, welche derartige Hacks abfangen. Ich schicke dir eine PM, da die Unkenntnis über das Script dem Schutzfaktor zu Gute kommt...
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
742
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Siehe PM. Das Script ist für ein anderes Shopsystem modifiziert, funktioniert im Prinzip aber mit jedem PHP basierenden Shop. Dabei fängt es diverse bekannte Hackstrings ab - wenn die Hacker die Liste kennen, können sie natürlich anders darauf zugreifen. Deswegen an dieser Stelle kein Link.

Einige Sicherheitslücken müssen aber im Shopscript selbst behoben werden, ich kenne JTL-Shop nicht und kann da nichts zu sagen. Bei XTC habe ich die Lücken (hoffentlich) alle gefixt.
 

wwwKaufeDichReichde

Aktives Mitglied
27. September 2007
218
0
Chemnitz
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Siehe PM. Das Script ist für ein anderes Shopsystem modifiziert, funktioniert im Prinzip aber mit jedem PHP basierenden Shop. Dabei fängt es diverse bekannte Hackstrings ab - wenn die Hacker die Liste kennen, können sie natürlich anders darauf zugreifen. Deswegen an dieser Stelle kein Link.

Einige Sicherheitslücken müssen aber im Shopscript selbst behoben werden, ich kenne JTL-Shop nicht und kann da nichts zu sagen. Bei XTC habe ich die Lücken (hoffentlich) alle gefixt.



Würde mich auch auf einer PM Freuen. Danke im Voraus.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Ich werde euch nach Möglichkeit bei der Implementierung eines Grundschutzes helfen. Ich bin allerdings gerade auf einer Firmenweihnachtsfeier - komme also erst morgen ernsthaft dazu.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Im Unterschied zur oben per PM gesendeten Lösung, hat die SSEQ-LIB Sicherheitsbibliothek keine Komponenten, die durch Einsicht des Codes die Sicherheit beeinträchtigen. Durch die spezielle Implementierung ist es möglich, einen Grundschutz zu installieren durch die Anpassung einer einzigen Datei im System. Ich kann aber im Moment ohne die betreffende Software zu sehen, keine weitere sinnvolle Anleitung geben.
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
299
Köln
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hallo zusammen,

wir werden hierzu kurzfristig einen Release (2.18 - es ist nicht das lang ersehnte, große Release) mit einem Fix hierzu (und einigen anderen Dingen) bereitstellen.

Durch die oben gepostete Anleitung kann ein Angreifer im Shop einen gültigen Kupon einlösen, ohne den Kupon-Code zu kennen. Allerdings müssen alle anderen Dinge wie Mindestbestellwert, Beschränkungen auf Kategorien / Artikelnummern, Gültigkeitsdatum, etc. weiterhin stimmen.

Da es sich um einen Sicherheitsbug handelt, wird es dieses Bugfix Release geben.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Durch die oben gepostete Anleitung kann ein Angreifer im Shop einen gültigen Kupon einlösen, ohne den Kupon-Code zu kennen. Allerdings müssen alle anderen Dinge wie Mindestbestellwert, Beschränkungen auf Kategorien / Artikelnummern, Gültigkeitsdatum, etc. weiterhin stimmen.

Es ist eine klassische SQL-Injection Schwachstelle. Es lässt sich durch "blind SQL injections" - zumindest theoretisch - viel tiefer in die Datenbank blicken.

Das Anmeldeformular scheint übrigens für Cross-Site-Scripting-Angriffe anfällig zu sein.
 

ichbinsmal

Gut bekanntes Mitglied
20. Dezember 2008
353
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Spitzen Support !!!
Superschnell reagiert ... klasse !!!!!



Habe das Sicherheitspatch gerade eingespielt (bzw. nur die geänderten Dateien hochgeladen)
... so wie ich das sehe, klappt noch alles ;)


Fragt sich nur, ob ich schon "gehackt" wurde oder nicht ...
Kann man (ich?) das irgendwie feststellen? :confused:
Danke :cool:
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
742
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Das Anmeldeformular scheint übrigens für Cross-Site-Scripting-Angriffe anfällig zu sein.

Das meinte ich ja. Ich glaube kaum, dass ein Hacker daran interessiert ist, mit Kupon bei einem einzukaufen und den Restbetrag zu überweisen :rolleyes:

Die wollen Kundendaten inkl. Konto-/Kreditkarteninformationen etc. zum Weiterverkauf oder Zugang zum Server für SPAM-Bots.
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
299
Köln
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hi,

Fragt sich nur, ob ich schon "gehackt" wurde oder nicht ...
gehackt wurdest du nicht. Durch das Sicherheitsproblem könnte ein Angreifer einen allgemeingültigen Kupon einlösen, ohne den Code zu haben.

Die wollen Kundendaten inkl. Konto-/Kreditkarteninformationen etc. zum Weiterverkauf oder Zugang zum Server für SPAM-Bots.
KK Daten werden shopseitig nicht gespeichert, da externe Zahlungsanbieter genutzt werden.
 

webstar

Sehr aktives Mitglied
10. Dezember 2007
572
33
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hallo,

ist es richtig das man nur mit Subscriptionsverlängerung in Genuss eines Sicherheitsupdates dieser gravierenden Sicherheitslücke kommt ?

mfg
webstar
 

Marcel

Sehr aktives Mitglied
14. September 2006
7.153
5
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Nur wenn Du den Shop vor länger als einem Jahr gekauft hast. Denn ab Kaufdatum ist ja bereits 1 Jahr Subscriptionszeit enthalten.
 

argy

Gut bekanntes Mitglied
30. Juni 2007
908
0
Bitterfeld
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

das is aber nich wirklich in ordnung muß ich mal sagen...
is ja nur ein sicherheitsupdate....
das sollte für alle verfügbar sein...
 

Marcel

Sehr aktives Mitglied
14. September 2006
7.153
5
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Ich hab mich damit ja auch nur darauf bezogen, ob/wann der Link zum Download in der Filebase ersichtlich ist.
 

argy

Gut bekanntes Mitglied
30. Juni 2007
908
0
Bitterfeld
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

das mit der sub...-zeit is ja klar...
aber meint ihr nicht dass es allen euren kunden zusteht einen SICHERHEITS-patch zu bekommen auch ohne verlängerung?
gibt ja vielleicht auch leute die nicht unbedingt updaten wollen und außer dem patch is ja keine neuerung drin...
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Badges / Artikelsticker bei JTL Shop 5.3.0 Templates für JTL-Shop 0
Neu Bug Popup/eModal - JTL Shop 5.3 JTL-Shop - Fehler und Bugs 0
Neu JTL-Shop 5.3 - Aktuell 5.3.1 Releaseforum 1
Neu JTL 1.8.12.0 - Artikelattribut für Shop importieren - Format CSV-Datei / Hilfe bei Import von individuellen Attributen für JTL-Shop (googlekat) JTL-Ameise - Ideen, Lob und Kritik 1
JTL Shop Gutscheine über JTL-Vouchers erstellen Allgemeine Fragen zu JTL-Vouchers 1
Neu JTL Shop Gutscheine über JTL-Vouchers erstellen Allgemeine Fragen zu JTL-Shop 0
Neu E-Commerce-Effizienz steigern: Welche Programmiersprache verbessert die JTL-Shop-Entwicklung? Technische Fragen zu Plugins und Templates 1
Neu Kompatibilitätsliste JTL Shop & JTL Wawi Installation / Updates von JTL-Shop 2
Neu JTL-Shop 5 Paypal Zahlung 30 Tage Zahlungsziel Allgemeine Fragen zu JTL-Shop 6
Neu JTL-Shop 5.3.0 RC3 Fehler nach Update Portlet Banner, fehlendes Produkt JTL-Shop - Fehler und Bugs 0
Neu Umstieg von Shopware 5 zu JTL Shop 5 - Ranking behalten Allgemeine Fragen zu JTL-Shop 2
Neu Verbindungsproblem Wawi (1.8.12.0) zum JTL-Shop (5.2.4) über localhost User helfen Usern - Fragen zu JTL-Wawi 0
Neu Lizenz zu verkaufen für JTL-Shop Standard Edition Allgemeine Fragen zu JTL-Shop 4
JTL Shop : automatisch setzen: Verfügbar ab: 28.04.2024 (Vorbestellung möglich) JTL-Wawi 1.8 0
Neu Programmierung eines Tools zur Verwaltung einer Datentabelle (JTL Shop 5) Technische Fragen zu Plugins und Templates 6
I have faced an issue while the JTL Shop order has synchronized to the JTL WAWI 1.8 version. JTL-Wawi 1.8 0
Neu JTL Shop 5 Umfrage!? Allgemeine Fragen zu JTL-Shop 0
Neu Woocommerce mit JTL Connector "Die Shop-URL verweist nicht auf einen gültigen Shop" WooCommerce-Connector 4
Hosting JTL- Shop unter https://...12358.jtl-shop.de/ Einrichtung JTL-Shop5 0
Neu JTL-Shop Standard Edition Lizenz zu verkaufen Umstieg auf JTL-Shop 7
Neu Wie kann ich im JTL-Shop einen Abwesenheitshinweis einstellen? Allgemeine Fragen zu JTL-Shop 1
Neu JTL Shop 5.30? Allgemeine Fragen zu JTL-Shop 9
Neu Anzeige von Neuheiten und Topsellern im JTL Shop 5 Allgemeine Fragen zu JTL-Shop 2
Neu NEU ✔️ PDF-Angebots-Plugin für den JTL-Shop 5 - PDF Angebote von der Produktseite oder aus dem Warenkorb heraus generieren B2C / B2B Plugins für JTL-Shop 5
Neu JTL Shop funktioniert nicht mehr Allgemeine Fragen zu JTL-Shop 2
Neu JTL Shop Template Domain lösen? Allgemeine Fragen zu JTL-Shop 0
Neu Migration von eCommerce-Integrator auf JTL Connector - Software 5 Shop Onlineshop-Anbindung 2
Neu CloudFlare RocketLoader und JTL-Shop OnPage Composer JTL-Shop - Fehler und Bugs 0
Neu JTL-Shop 5 und PHP OpCache Allgemeine Fragen zu JTL-Shop 9
Sprachauswahl im JTL Shop 5 Einrichtung JTL-Shop5 5
Neu JTL Shop und WAWI komplett testen vor Shop-Release Gelöste Themen in diesem Bereich 8
Neu JTL Wawi Warenwirtschaft mit Gambio Cloud-Shop Gambio-Connector 0
Neu Anfängerfrage nach der prinzipiellen Funktionsweise mit JTL-Shop und FFN Starten mit JTL: Projektabwicklung & Migration 4
Neu Neue Tab in JTL 5 Shop erstellen Allgemeine Fragen zu JTL-Shop 3
Neu JTL Shop nicht mehr erreichbar Allgemeine Fragen zu JTL-Shop 1
Update von JTL-Shop 4.06 auf JTL-Shop 5.1.1 geht nicht Upgrade JTL-Shop4 auf JTL-Shop5 4
Neu JTL-Shop 5 Nova-Template / Darstellung der Produktliste teilweise fehlerhaft JTL-Shop - Fehler und Bugs 1
Neu JTL-Shop 5.2.4 - Umlaute wird in Plugins falsch übergeben JTL-Shop - Fehler und Bugs 2
Kundenimport von OpenCart 2.3 zu JTL Shop 5 Einrichtung JTL-Shop5 0
Neu erster JTL Shop - Artikelbilder aus Cloudspeicher - aber nicht in die Wawi eazybuisiness DB Allgemeine Fragen zu JTL-Shop 0
Neu PAngV (PreisAngabenVerordnung) vom 28.05.2022 mit JTL-Wawi und JTL-Shop - bzgl. "Läuft JTL Wawi stabil?" Smalltalk 1
Beantwortet JTL-SHOP 5 / Anzeige Preise Artikelübersicht Allgemeine Fragen zu JTL-Shop 3
Neu JTL Konfigurator an anderen Shop binden Plugins für JTL-Shop 0
Neu Webp Grafiken in JTL-Shop 4.06 Betrieb / Pflege von JTL-Shop 2
Neu Tracking-Link-Variable für Sendungsreferenz - e-mil vorlage jtl-shop JTL-Shop - Ideen, Lob und Kritik 0
Neu AR - Augmented Reality im JTL Shop 5 Plugins für JTL-Shop 2
Neu Woocommerce Upsells und Cross-Sells werden af JTL Shop angezeigt. JTL-Wawi - Fehler und Bugs 0
Neu Aktueller Stand: Retouren in JTL-Shop Allgemeine Fragen zu JTL-Shop 14
Neu SMTP Mail einrichten JTL-Shop 5 User helfen Usern - Fragen zu JTL-Wawi 4
Neu Nach Migration auf JTL Shop 5 fehlerhafte PayPal Zahlungsmitteilungen Allgemeine Fragen zu JTL-Shop 0

Ähnliche Themen