Gelöst JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

[ichbinsmal]

Hallo,
ich stehe mit meinem Shop auf einigen "Crack" Seiten ... z.B. http://board.kingsize-crew.cc

Dort ist zu lesen:

################
#Shopsoftware: JTL-Shop 2 #
#Found by: ValiD-CC #
#Location: Germany #
#AdminPath: /admin/ #
#Dork: inurl:warenkorb.php " Kupon einlösen" #
#Example: http://www.meineshopurl.de/shop/warenkorb.php #
#PostParameter: &Kuponcode=' or 1='1 #
#Greetz to kingsize-crew.cc #
############################

Nun bin ich doch ziemlich beunruhigt ...

Was soll das bedeuten?
Was für Schaden kann angerichtet werden?
Wie stelle ich die Sicherheitslücke ab?

Danke an alle!!
Gruss
Frank

 

[Nippon]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Es gibt Scripts, welche derartige Hacks abfangen. Ich schicke dir eine PM, da die Unkenntnis über das Script dem Schutzfaktor zu Gute kommt...

 

[AutoMan]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Es gibt Scripts, welche derartige Hacks abfangen. Ich schicke dir eine PM, da die Unkenntnis über das Script dem Schutzfaktor zu Gute kommt...

Kannst Du mir auch eine PM für die Scripts schicken? Besten Dank im voraus.

 

[Nippon]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Siehe PM. Das Script ist für ein anderes Shopsystem modifiziert, funktioniert im Prinzip aber mit jedem PHP basierenden Shop. Dabei fängt es diverse bekannte Hackstrings ab - wenn die Hacker die Liste kennen, können sie natürlich anders darauf zugreifen. Deswegen an dieser Stelle kein Link.

Einige Sicherheitslücken müssen aber im Shopscript selbst behoben werden, ich kenne JTL-Shop nicht und kann da nichts zu sagen. Bei XTC habe ich die Lücken (hoffentlich) alle gefixt.

 

[wwwKaufeDichReichde]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Siehe PM. Das Script ist für ein anderes Shopsystem modifiziert, funktioniert im Prinzip aber mit jedem PHP basierenden Shop. Dabei fängt es diverse bekannte Hackstrings ab - wenn die Hacker die Liste kennen, können sie natürlich anders darauf zugreifen. Deswegen an dieser Stelle kein Link.

Einige Sicherheitslücken müssen aber im Shopscript selbst behoben werden, ich kenne JTL-Shop nicht und kann da nichts zu sagen. Bei XTC habe ich die Lücken (hoffentlich) alle gefixt.

Würde mich auch auf einer PM Freuen. Danke im Voraus.

 

[andi1970]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

gleiches gilt auch für meine wenigkeit

 

[ichbinsmal]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

ist nicht das, was Nippon geschickt hat ... aber seine Infos haben mich weiter geführt auf diese Seite hier
Wie sichere ich eine fremde Webanwendung ab? | PHP Application and Website Defense

Kann da einer was zu sagen?
Ich werd das mal durchprobieren ... Morgen ...

 

[erichth]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Ich werde euch nach Möglichkeit bei der Implementierung eines Grundschutzes helfen. Ich bin allerdings gerade auf einer Firmenweihnachtsfeier - komme also erst morgen ernsthaft dazu.

 

[erichth]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Im Unterschied zur oben per PM gesendeten Lösung, hat die SSEQ-LIB Sicherheitsbibliothek keine Komponenten, die durch Einsicht des Codes die Sicherheit beeinträchtigen. Durch die spezielle Implementierung ist es möglich, einen Grundschutz zu installieren durch die Anpassung einer einzigen Datei im System. Ich kann aber im Moment ohne die betreffende Software zu sehen, keine weitere sinnvolle Anleitung geben.

 

[Thomas Lisson]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hallo zusammen,

wir werden hierzu kurzfristig einen Release (2.18 - es ist nicht das lang ersehnte, große Release) mit einem Fix hierzu (und einigen anderen Dingen) bereitstellen.

Durch die oben gepostete Anleitung kann ein Angreifer im Shop einen gültigen Kupon einlösen, ohne den Kupon-Code zu kennen. Allerdings müssen alle anderen Dinge wie Mindestbestellwert, Beschränkungen auf Kategorien / Artikelnummern, Gültigkeitsdatum, etc. weiterhin stimmen.

Da es sich um einen Sicherheitsbug handelt, wird es dieses Bugfix Release geben.

 

[erichth]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Durch die oben gepostete Anleitung kann ein Angreifer im Shop einen gültigen Kupon einlösen, ohne den Kupon-Code zu kennen. Allerdings müssen alle anderen Dinge wie Mindestbestellwert, Beschränkungen auf Kategorien / Artikelnummern, Gültigkeitsdatum, etc. weiterhin stimmen.

Es ist eine klassische SQL-Injection Schwachstelle. Es lässt sich durch "blind SQL injections" - zumindest theoretisch - viel tiefer in die Datenbank blicken.

Das Anmeldeformular scheint übrigens für Cross-Site-Scripting-Angriffe anfällig zu sein.

 

[Thomas Lisson]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Shop 2.18 (Sicherheitspatch) ist nun erhältlich: http://forum.jtl-software.de/releaseforum/22881-jtl-shop-2-18-sicherheitspatch.html

@erichth: danke für die Hinweise

 

[ichbinsmal]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Shop 2.18 (Sicherheitspatch) ist nun erhältlich: http://forum.jtl-software.de/releaseforum/22881-jtl-shop-2-18-sicherheitspatch.html

@erichth: danke für die Hinweise

Spitzen Support !!!
Superschnell reagiert ... klasse !!!!!


Habe das Sicherheitspatch gerade eingespielt (bzw. nur die geänderten Dateien hochgeladen)
... so wie ich das sehe, klappt noch alles


Fragt sich nur, ob ich schon "gehackt" wurde oder nicht ...
Kann man (ich?) das irgendwie feststellen?
Danke

 

[Nippon]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Das Anmeldeformular scheint übrigens für Cross-Site-Scripting-Angriffe anfällig zu sein.

Das meinte ich ja. Ich glaube kaum, dass ein Hacker daran interessiert ist, mit Kupon bei einem einzukaufen und den Restbetrag zu überweisen

Die wollen Kundendaten inkl. Konto-/Kreditkarteninformationen etc. zum Weiterverkauf oder Zugang zum Server für SPAM-Bots.

 

[Thomas Lisson]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hi,

Fragt sich nur, ob ich schon "gehackt" wurde oder nicht ...

gehackt wurdest du nicht. Durch das Sicherheitsproblem könnte ein Angreifer einen allgemeingültigen Kupon einlösen, ohne den Code zu haben.

Die wollen Kundendaten inkl. Konto-/Kreditkarteninformationen etc. zum Weiterverkauf oder Zugang zum Server für SPAM-Bots.

KK Daten werden shopseitig nicht gespeichert, da externe Zahlungsanbieter genutzt werden.

 

[webstar]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Hallo,

ist es richtig das man nur mit Subscriptionsverlängerung in Genuss eines Sicherheitsupdates dieser gravierenden Sicherheitslücke kommt ?

mfg
webstar

 

[Marcel]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Nur wenn Du den Shop vor länger als einem Jahr gekauft hast. Denn ab Kaufdatum ist ja bereits 1 Jahr Subscriptionszeit enthalten.

 

[argy]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

das is aber nich wirklich in ordnung muß ich mal sagen...
is ja nur ein sicherheitsupdate....
das sollte für alle verfügbar sein...

 

[Marcel]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

Ich hab mich damit ja auch nur darauf bezogen, ob/wann der Link zum Download in der Filebase ersichtlich ist.

 

[argy]

AW: JTL-Shop 2 - Sicherheitslücke auf Crack Seiten veröffentlicht

das mit der sub...-zeit is ja klar...
aber meint ihr nicht dass es allen euren kunden zusteht einen SICHERHEITS-patch zu bekommen auch ohne verlängerung?
gibt ja vielleicht auch leute die nicht unbedingt updaten wollen und außer dem patch is ja keine neuerung drin...