Gelöst JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

ichbinsmal

Gut bekanntes Mitglied
20. Dezember 2008
353
1
Hallo,
ich stehe mit meinem Shop auf einigen "Crack" Seiten :eek: ... z.B. http://board.kingsize-crew.cc

Dort ist zu lesen:
################
#Shopsoftware: JTL-Shop 2 #
#Found by: ValiD-CC #
#Location: Germany #
#AdminPath: /admin/ #
#Dork: inurl:warenkorb.php " Kupon einlösen" #
#Example: http://www.meineshopurl.de/shop/warenkorb.php #
#PostParameter: &Kuponcode=' or 1='1 #
#Greetz to kingsize-crew.cc #
############################

Nun bin ich doch ziemlich beunruhigt ...

Was soll das bedeuten?
Was für Schaden kann angerichtet werden?
Wie stelle ich die Sicherheitslücke ab?

Danke an alle!!
Gruss
Frank
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
743
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Es gibt Scripts, welche derartige Hacks abfangen. Ich schicke dir eine PM, da die Unkenntnis über das Script dem Schutzfaktor zu Gute kommt...
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
743
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Siehe PM. Das Script ist für ein anderes Shopsystem modifiziert, funktioniert im Prinzip aber mit jedem PHP basierenden Shop. Dabei fängt es diverse bekannte Hackstrings ab - wenn die Hacker die Liste kennen, können sie natürlich anders darauf zugreifen. Deswegen an dieser Stelle kein Link.

Einige Sicherheitslücken müssen aber im Shopscript selbst behoben werden, ich kenne JTL-Shop nicht und kann da nichts zu sagen. Bei XTC habe ich die Lücken (hoffentlich) alle gefixt.
 

wwwKaufeDichReichde

Aktives Mitglied
27. September 2007
218
0
Chemnitz
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Siehe PM. Das Script ist für ein anderes Shopsystem modifiziert, funktioniert im Prinzip aber mit jedem PHP basierenden Shop. Dabei fängt es diverse bekannte Hackstrings ab - wenn die Hacker die Liste kennen, können sie natürlich anders darauf zugreifen. Deswegen an dieser Stelle kein Link.

Einige Sicherheitslücken müssen aber im Shopscript selbst behoben werden, ich kenne JTL-Shop nicht und kann da nichts zu sagen. Bei XTC habe ich die Lücken (hoffentlich) alle gefixt.



Würde mich auch auf einer PM Freuen. Danke im Voraus.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Ich werde euch nach Möglichkeit bei der Implementierung eines Grundschutzes helfen. Ich bin allerdings gerade auf einer Firmenweihnachtsfeier - komme also erst morgen ernsthaft dazu.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Im Unterschied zur oben per PM gesendeten Lösung, hat die SSEQ-LIB Sicherheitsbibliothek keine Komponenten, die durch Einsicht des Codes die Sicherheit beeinträchtigen. Durch die spezielle Implementierung ist es möglich, einen Grundschutz zu installieren durch die Anpassung einer einzigen Datei im System. Ich kann aber im Moment ohne die betreffende Software zu sehen, keine weitere sinnvolle Anleitung geben.
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
300
Köln
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hallo zusammen,

wir werden hierzu kurzfristig einen Release (2.18 - es ist nicht das lang ersehnte, große Release) mit einem Fix hierzu (und einigen anderen Dingen) bereitstellen.

Durch die oben gepostete Anleitung kann ein Angreifer im Shop einen gültigen Kupon einlösen, ohne den Kupon-Code zu kennen. Allerdings müssen alle anderen Dinge wie Mindestbestellwert, Beschränkungen auf Kategorien / Artikelnummern, Gültigkeitsdatum, etc. weiterhin stimmen.

Da es sich um einen Sicherheitsbug handelt, wird es dieses Bugfix Release geben.
 

erichth

Aktives Mitglied
14. Dezember 2009
3
0
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Durch die oben gepostete Anleitung kann ein Angreifer im Shop einen gültigen Kupon einlösen, ohne den Kupon-Code zu kennen. Allerdings müssen alle anderen Dinge wie Mindestbestellwert, Beschränkungen auf Kategorien / Artikelnummern, Gültigkeitsdatum, etc. weiterhin stimmen.

Es ist eine klassische SQL-Injection Schwachstelle. Es lässt sich durch "blind SQL injections" - zumindest theoretisch - viel tiefer in die Datenbank blicken.

Das Anmeldeformular scheint übrigens für Cross-Site-Scripting-Angriffe anfällig zu sein.
 

ichbinsmal

Gut bekanntes Mitglied
20. Dezember 2008
353
1
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Spitzen Support !!!
Superschnell reagiert ... klasse !!!!!



Habe das Sicherheitspatch gerade eingespielt (bzw. nur die geänderten Dateien hochgeladen)
... so wie ich das sehe, klappt noch alles ;)


Fragt sich nur, ob ich schon "gehackt" wurde oder nicht ...
Kann man (ich?) das irgendwie feststellen? :confused:
Danke :cool:
 

Nippon

Gut bekanntes Mitglied
1. Juni 2009
743
8
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Das Anmeldeformular scheint übrigens für Cross-Site-Scripting-Angriffe anfällig zu sein.

Das meinte ich ja. Ich glaube kaum, dass ein Hacker daran interessiert ist, mit Kupon bei einem einzukaufen und den Restbetrag zu überweisen :rolleyes:

Die wollen Kundendaten inkl. Konto-/Kreditkarteninformationen etc. zum Weiterverkauf oder Zugang zum Server für SPAM-Bots.
 

Thomas Lisson

Administrator
Mitarbeiter
24. März 2006
15.574
300
Köln
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hi,

Fragt sich nur, ob ich schon "gehackt" wurde oder nicht ...
gehackt wurdest du nicht. Durch das Sicherheitsproblem könnte ein Angreifer einen allgemeingültigen Kupon einlösen, ohne den Code zu haben.

Die wollen Kundendaten inkl. Konto-/Kreditkarteninformationen etc. zum Weiterverkauf oder Zugang zum Server für SPAM-Bots.
KK Daten werden shopseitig nicht gespeichert, da externe Zahlungsanbieter genutzt werden.
 

webstar

Sehr aktives Mitglied
10. Dezember 2007
602
51
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hallo,

ist es richtig das man nur mit Subscriptionsverlängerung in Genuss eines Sicherheitsupdates dieser gravierenden Sicherheitslücke kommt ?

mfg
webstar
 

Marcel

Sehr aktives Mitglied
14. September 2006
7.153
5
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Nur wenn Du den Shop vor länger als einem Jahr gekauft hast. Denn ab Kaufdatum ist ja bereits 1 Jahr Subscriptionszeit enthalten.
 

argy

Gut bekanntes Mitglied
30. Juni 2007
908
2
Bitterfeld
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

das is aber nich wirklich in ordnung muß ich mal sagen...
is ja nur ein sicherheitsupdate....
das sollte für alle verfügbar sein...
 

Marcel

Sehr aktives Mitglied
14. September 2006
7.153
5
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Ich hab mich damit ja auch nur darauf bezogen, ob/wann der Link zum Download in der Filebase ersichtlich ist.
 

argy

Gut bekanntes Mitglied
30. Juni 2007
908
2
Bitterfeld
AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

das mit der sub...-zeit is ja klar...
aber meint ihr nicht dass es allen euren kunden zusteht einen SICHERHEITS-patch zu bekommen auch ohne verlängerung?
gibt ja vielleicht auch leute die nicht unbedingt updaten wollen und außer dem patch is ja keine neuerung drin...
 
Ähnliche Themen
Titel Forum Antworten Datum
Seit dem Update meines JTL-Shops auf Version 5.7.1 funktioniert die Verbindung zwischen JTL-Wawi 2.0.4.0 und dem Shop nicht mehr. JTL-Wawi 2.0 2
Neu Shop 5.7.2 - JTL PayPal Checkout legt alles lahm JTL-Shop - Fehler und Bugs 4
Neu JTL Shop Plugin - BD Automatisierter Widerruf (Von Händler für Händler - Schluss mit Mail-Chaos & Spam-Sorgen!) Plugins für JTL-Shop 0
Neu Welche JTL Shop Plugins oder kleinen Hilfstools würden euch im Alltag wirklich helfen? Plugins für JTL-Shop 0
Neu Plugin: JTL Exportformat Google Shopping gibt <g:google_product_category> unter Shop 5.7.1 und Wawi 2.0.4 nicht aus Plugins für JTL-Shop 1
Neu Widerrufsbutton für JTL-Shop 4 Allgemeine Fragen zu JTL-Shop 17
Neu Rabatte aus dem JTL-Shop werden in der Wawi nur als Netto-Preis übernommen, Rabatt % gehen verloren Onlineshop-Anbindung 0
Neu JTL-Shop - Wechsel von Test zum Livebetrieb - was beachten ? Installation / Updates von JTL-Shop 2
Neu Meta Shop seit September 2025: JTL-Lösung für neue Checkout-URL gesucht Allgemeine Fragen zu JTL-Shop 0
Rabatt Coupons in Verbindung mit Staffelpreisen - JTL 1.11.9, JTL Shop JTL-Wawi 1.11 0
Fehler beim Abgleich mit dem JTL-Shop JTL-Wawi 2.0 12
Neu OnFinds: KI-Suche für JTL-Shop mit fairer Abrechnung nach Artikelanzahl. 30 Tage kostenlos testen Plugins für JTL-Shop 0
Neu Freelancer für JTL-Wawi, Shop & Prozessautomatisierung Dienstleistung, Jobs und Ähnliches 2
Neu JTL Shop 5.7.1 mit Fehlern - versandarten zahlungsarten nicht änderbar, leere weiße Seite JTL-Shop - Fehler und Bugs 5
Neu Massiver jtl-shop-cron aufruf JTL-Shop - Fehler und Bugs 7
Neu Neues Plugin: Erweiterter Widerrufsbutton für JTL-Shop Plugins für JTL-Shop 9
Neu [Suche 5 Beta-Tester] KI generiert JTL Shop 5 Templates per Beschreibung – kostenlos testen Templates für JTL-Shop 7
Neu Telemetrie-Datenerfassung in JTL-Shop 5.7.0: Bitte um Klarstellung der DSGVO-relevanten Aspekte Allgemeine Fragen zu JTL-Shop 5
JTL Shop 4 Upgrade auf 5.5.0 --> Fehler 500 Upgrade JTL-Shop4 auf JTL-Shop5 2
JTL Shop 4 Upgrade auf 5.5.0 --> Fehler 404 Upgrade JTL-Shop4 auf JTL-Shop5 11
Neu JTL Shop 5 und Klarna Plugins für JTL-Shop 0
Neu JTL Shop 5.7 - Widerrufsbutton im B2B Templates für JTL-Shop 18
Neu Dropdown jtl shop länge einstellen Allgemeine Fragen zu JTL-Shop 2
JTL-Shop 5.7.0 Widerrufsbutton Einrichtung JTL-Shop5 42
Neu JTL Shop Template Snackys Bildgrößen einstellen Templates für JTL-Shop 1
Neu JTL-Shop 5.7 - Aktuell 5.7.2 Releaseforum 2
Neu Gratisgeschenke im JTL Shop nicht wirklich nutzerfreundlich. Allgemeine Fragen zu JTL-Shop 4
Neu JTL-WMS und JTL-POS... Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Fehlermeldung beim Einlesen der Buchungen in JTL Fibu JTL-Wawi 2.0 2
JTL-Ameise 2.04 - Export Rechnungen csv - unvollständig JTL-Wawi 2.0 12
Neu Belege aus JTL Wawi zu Lexoffice Schnittstellen Import / Export 5
Neu Varianten die nicht online in JTL geschaltet sind werden trotzdem zu Shopify geladen Shopify-Connector 2
Neu Gesucht: JTL-Systempartner/Freelancer mit Erfahrung in Personalisierungs-/Gravur-Fulfillment Dienstleistung, Jobs und Ähnliches 2
Neu JTL Stammtisch Stuttgart Messen, Stammtische und interessante Events 0
Neu Copy/Paste Abstürze seit JTL-Wawi 2.0.5 User helfen Usern - Fragen zu JTL-Wawi 4
Gelöst: Störung bei LInk11 - JTL- Shops teilweise nicht erreichbar Störungsmeldungen 1
JTL Update auf 1.9 , danach Import Kundenspezifrische Preise velerhaft JTL-Wawi 1.9 0
Wie übernehme ich Artikelnamen von JTL in den neuen Kaufland Niederlande-Verkaufskanal? JTL-Wawi 1.11 1
Neu Wie stelle ich Retouren in JTL für DPD ein? JTL-ShippingLabels - Ideen, Lob und Kritik 1
Neu JTL Wawi 1.11.11 - Zahlungsabgleich bei FYRST Bank verlangt immer Passwort User helfen Usern - Fragen zu JTL-Wawi 0
Neu Der wahrscheinlich östlichste JTL Servicepartner: Standortvorteil, faire Preise und vieles mehr Dienstleistung, Jobs und Ähnliches 16
Neu JTL ShippingLabels - Meldungen JTL-ShippingLabels - Fehler und Bugs 7
Neu Beta-Tester gesucht: Produktdaten aus Artikelfotos schneller für JTL/CSV vorbereiten Dienstleistung, Jobs und Ähnliches 0
Neu oAuth Credentials Login mit JTL .. WO? User helfen Usern 1
Neu Installationsdatei für JTL‑Wawi 1.9.6.5 Installation von JTL-Wawi 2
Neu kostenlos: DHL Sendungsverfolgung für JTL-Wawi – Web-Dashboard mit Frühwarnsystem Schnittstellen Import / Export 0
Neu JTL Wawi 2.0 oder höher WooCommerce-Connector 0
Changelog jtl Wawi 2.0.5 JTL-Wawi 2.0 10
Neu Ist es ohne Probleme möglich Cloudflare in der Free Version mit JTL zu nutzen? Allgemeine Fragen zu JTL-Shop 7
JTL 5.7.1 Widerrufsformular massiver SPAM Einrichtung JTL-Shop5 3

Ähnliche Themen