Gelöst JTL-Shop2 und die Sicherheit

[conny2540]

AW: JTL-Shop2 und die Sicherheit

@dunkelwet
na ja Millionen... Wer sowas behauptet, in der heutigen Konjunktur, den nehme ich grundsätzlich nicht ernst... Ich denke mal wir alle spüren eine Flaute.
Sicherlich sind Fakes immer ärgerlich und kosten Nerven und Zeit. Damit Du es aber auch noch zusätzlich in der Geldtasche spürst, vielleicht ein kleiner Tipp, wie ich das mache. Wobei in Deutschland alles extremer abläuft, als in Österreich:

Spaßbesteller kann man eigentlich nur das Konto sperren, also die e-Mail-Adresse. Helfen tut es nicht viel, aber doch ein wenig. Kommt der nochmals mit einer anderen Mail-Adresse, dann erscheint zumindest der Name doppelt. Wenn man in den AGB reinschreibt, dass man Bestellungen nicht annehmen muß und Bestellungen grundsätzlich erst nach Zusendung der AB oder der Ware rechtswirksam werden, dann kann nicht viel passieren.

Die meisten Fakebestellungen weisen meistens auf eine falsche Mail-Adresse (laß Dir vom Shop eine Mailkopie zusenden für jede Kontoeröffnung). Du bekommst dann von Deinem Mail-Server die Nachricht, dass die Kontoeröffnungsmail nicht zugestellt werden konnte.

Wenn dann auch noch eine Telefon-Nr. (Pflichtfeld) angegeben wurde, kannst Du da mal anrufen und auf die falsche Mailadresse hinweisen und Korrektur verlangen, sonst wird keine Bestellung ausgeführt. Falls die Tel.-Nr. auch gefakt ist, dann weißt Du wo Du dran bist und fängst somit die Bestellung auch ab.

 

[conny2540]

AW: JTL-Shop2 und die Sicherheit

@ modi-Art
für alle die diesen Post lesen:

Betrifft der Fix dann alle mitgelieferten Templates ?

 

[conny2540]

AW: JTL-Shop2 und die Sicherheit

Sorry, hab mich bei der suche.tpl mit der Variablen vertan... so muss es richtig heißen:
<h1>{$Suchergebnisse->SuchausdruckWrite}</h1> ändern in <h1>{$Suchergebnisse->SuchausdruckWrite|escape:"html"}</h1>

@ Modi-Art
Jetzt bin ich ein wenig verwirrt: hier wird die Variable für die Suchbox geändert. Dennoch habe ich bei meinen Liveshops mal den Link-Code, der im Artikel angegeben wird ausprobiert. Bei mir kann nichts ausgeführt werden. Man landet mit dem Originalcode auf "... nicht gefunden". Was ja richtig ist.

Der zu ändernde Code betrifft die Suche und genannt wird die Schnellbestellbox. Nun, was jetzt ? Ist diese Box mit der Suchbox gekoppelt, also in einer Datei verankert ?

Ich denke aber auch, dass das Ausführen des im Link genannten Codes durch die mitgelieferte .htaccess abgewährt wird. Falsche Anweisungen landen in der index.php ? Oder liege ich hier komplett falsch ?

 

[modi-art]

AW: JTL-Shop2 und die Sicherheit

Hi Conny,

@ Modi-Art
Der zu ändernde Code betrifft die Suche und genannt wird die Schnellbestellbox. Nun, was jetzt ? Ist diese Box mit der Suchbox gekoppelt, also in einer Datei verankert ?

Lies bitte nochmal meinen ersten Beitrag in diesem Thread - ich habe eine Änderung für die Suche und eine andere für den Warenkorb beschrieben.
Die suche.tpl-Änderung bewirkt, dass der Suchbegriff nicht mehr 1:1 auf der Seite ausgegeben wird (er wird nun maskiert und dadurch von schadhaftem Code "entschärft").
Die warenkorb.tpl-Änderung bringt diesen Schutzmechanismus für die Eingaben aus der Schnellkaufen-Box.
Diese Template-Änderungen funktionieren in ALLEN Templates für den JTL-Shop und sollten dort eingebaut werden, solange noch kein Fix für den Shop raus ist!

Ich denke aber auch, dass das Ausführen des im Link genannten Codes durch die mitgelieferte .htaccess abgewährt wird. Falsche Anweisungen landen in der index.php ? Oder liege ich hier komplett falsch ?

Nein, .htaccess kann XSS nicht verhindern. Hier nochmal zum Verständnis ein Auszug aus Wikipedia:

Ein klassisches Beispiel für Cross-Site Scripting ist die Übergabe von Parametern an ein serverseitiges Skript, das eine dynamische Webseite erzeugt. Dies kann etwa das Eingabeformular einer Webseite sein, wie in Webshops, Foren, Blogs und Wikis üblich. Die eingegebenen Daten werden auf der Webseite wieder als Seiteninhalt ausgegeben, wenn die Seite von Benutzern aufgerufen wird. So ist es möglich, manipulierte Daten an alle Benutzer zu senden, sofern das Serverskript dies nicht verhindert. Diese Daten sind oft Code einer clientseitigen Skriptsprache (meist JavaScript).

Gruß David

 

[D********t]

AW: JTL-Shop2 und die Sicherheit

Sorry, hab mich bei der suche.tpl mit der Variablen vertan... so muss es richtig heißen:
<h1>{$Suchergebnisse->SuchausdruckWrite}</h1> ändern in <h1>{$Suchergebnisse->SuchausdruckWrite|escape:"html"}</h1>

Wollte nur mal erwähnen, das auch dieser Fix nichts bewirkt :frown: .

Und hier übrigens die Antwort meines Hosters:

welches problem soll das sein?

xss passiert wegen eines lecks in der software in ihrem account, nicht
in der des servers. ihr shop muss prüfen was ein user eingibt!


mit einem schönen Gruss,
...

 

[Natur Wunder]

AW: JTL-Shop2 und die Sicherheit

Hallo,

der Fix funktioniert bei mir leider auch nicht. Habe jetzt vorerstmal den Bot-trap laufen.

 

[Feuer-Shop]

AW: JTL-Shop2 und die Sicherheit

Wie läuft das mit dem Bot-trap? Hat man dadurch Probleme oder läßt sich das ganze so schnell einbauen?

 

[D********t]

AW: JTL-Shop2 und die Sicherheit

Wie läuft das mit dem Bot-trap? Hat man dadurch Probleme oder läßt sich das ganze so schnell einbauen?

Du musst Dich da erstmal dort im Forum anmelden und Dich vorstellen, dann kriegst Du per PN nen Link zum Download. Momentan warte ich noch auf die Freischaltmail fürs Forum, ich denke mal nicht, das die da automatisiert rausgeht, sondern händisch nach Prüfung verschickt wird. Am meisten wird Dir Conny zum Thema Bot Trap erzählen können.

 

[WakMoo]

AW: JTL-Shop2 und die Sicherheit

Bei mir funktioniert der Fix einwandfrei. Gibt eigentlich auch keinen Grund warum er nicht funktionieren sollte.
@modi-art Was ist der Unterscheid zwischen Suchaudruck und SuchaudruckWrite?

 

[D********t]

AW: JTL-Shop2 und die Sicherheit

Bild im Anhang, so sieht es bei mir auch nach dem Fix aus.

 

[WakMoo]

AW: JTL-Shop2 und die Sicherheit

@Dunkelwelt Versuche <h1>{$Suchergebnisse->SuchausdruckWrite|escape:"html"}</h1> ind <h1>{$Suchergebnisse->Suchausdruck|escape:"html"}</h1> zu aender. Vielleicht hat es damit etwas zu tun. Nutze in meinem Template nur Suchausdruck anstatt SuchausdruckWrite

 

[D********t]

AW: JTL-Shop2 und die Sicherheit

@Dunkelwelt Versuche <h1>{$Suchergebnisse->SuchausdruckWrite|escape:"html"}</h1> ind <h1>{$Suchergebnisse->Suchausdruck|escape:"html"}</h1> zu aender. Vielleicht hat es damit etwas zu tun. Nutze in meinem Template nur Suchausdruck anstatt SuchausdruckWrite

Bringt leider auch nichts, selbst wenn ich die Sektion wie hier im Beispiel

{*
{if $Suchergebnisse->SuchausdruckWrite}
<h1>{$Suchergebnisse->SuchausdruckWrite|escape:"html"}</h1>
{/if}
*}

komplett ausklammere. Hängt irgendwie eher damit zusammen, das der Suchbegriff wieder ins Suchfeld geschrieben wird, was eigentlich eh ziemlich unsinnig ist, da der Kunde den gleichem Begriff doch sicher nicht nocheinmal sucht.

 

[modi-art]

AW: JTL-Shop2 und die Sicherheit

Die Variable {$Suchergebnisse->SuchausdruckWrite} kommt 2 x in der suche.tpl vor:
1 mal in der Überschrift (<h1>) und einmal im Suchfeld (<input>).
Beides muss ersetzt werden durch {$Suchergebnisse->SuchausdruckWrite|escape:"html"} dann funktioniert der Fix einwandfrei...

Hängt irgendwie eher damit zusammen, das der Suchbegriff wieder ins Suchfeld geschrieben wird, was eigentlich eh ziemlich unsinnig ist, da der Kunde den gleichem Begriff doch sicher nicht nocheinmal sucht.

Warum unsinnig? So kann man Vertipper korrigieren oder den Suchbegriff erweitern....
Google macht es genauso, dann kann es doch gar nicht so verkehrt sein

 

[D********t]

AW: JTL-Shop2 und die Sicherheit

Ok, {$Suchergebnisse->SuchausdruckWrite} kommt aber nur 1x als <h1> Überschrift vor, bei <input> heisst die Variable nur {$Suchergebnisse->Suchausdruck}, deshalb konnte ich die Stelle in KWrite mit der Suche nach "SuchausdruckWrite" auch nicht finden...jetzt gehts jedenfalls, danke.

 

[modi-art]

AW: JTL-Shop2 und die Sicherheit

@modi-art Was ist der Unterscheid zwischen Suchaudruck und SuchaudruckWrite?

Sorry, mir ist auch erst jetzt aufgefallen, dass die Variablen unterschiedlich heißen. SuchausdruckWrite ist der String für die Überschrift <h1>, also z.B. "Ihre Suche nach xyz brachte 10 Treffer". Suchausdruck ist der reine Suchbegriff-String.
Beide Variablen müssen mit |escape:"html" maskiert werden, um die Rückgabewerte von schadhaftem Code zu säubern...

Gruß David

 

[Natur Wunder]

AW: JTL-Shop2 und die Sicherheit

Hallo,

wie müßen den jetzt konkret die Änderungen aussehen?

Bin leider nicht so der Programmierprofi.

Gruß Peter

 

[modi-art]

AW: JTL-Shop2 und die Sicherheit

wie müßen den jetzt konkret die Änderungen aussehen?

suche.tpl:
1. {$Suchergebnisse->SuchausdruckWrite} ersetzen durch {$Suchergebnisse->SuchausdruckWrite|escape:"html"}

2. {$Suchergebnisse->Suchausdruck} ersetzen durch {$Suchergebnisse->Suchausdruck|escape:"html"}

warenkorb.tpl:
- {$Schnellkaufhinweis} ersetzen durch {$Schnellkaufhinweis|escape:"html"}

 

[Natur Wunder]

AW: JTL-Shop2 und die Sicherheit

Hallo David,

Danke, jetzt funktioniert der Fix. Und sogar ich konnte es umsetzen.

Grüße Peter

www.natur-wunder.de

 

[DieFirma]

AW: JTL-Shop2 und die Sicherheit

ich habe seit letztem Wochenende einen bei JTL gehosteten Shop mit einem neuen Template von Modiart WAI
Die XSS Angriff war leider auch erfolgreich.
Ist das eigentlich Sache des Support und ich kann entspannt auf Besserung warten, oder muss ich selbst etwas unternehmen?

 

[conny2540]

AW: JTL-Shop2 und die Sicherheit

Der XSS-Angriff ist nach eingehender Überprüfung offensichtlich nur beim Modi-art-Template möglich. Warum auch immer...
Baue den empfohlenen Fix ein und Du hast eine Ruhe, denn von JTL wird da kaum was kommen. Das Template wird zwar mitempfohlen, ist aber zum Kaufen von Drittanbieter und nicht von JTL...

Bei den Standard-JTL-Templates IDR-smooth, IDR greylight und JTL- Shop 2 ist die Ausführung des XSS-Codes nicht möglich, zumindest nicht in der aktuellen Version. Hier ist deshalb kein Handlungsbedarf nötig, du kannst den Fix aber zusätzlich einbauen, obwohl er nix bringt.