Gelöst JTL-Shop2 und die Sicherheit

modi-art

Moderator
5. Juni 2008
168
0
AW: JTL-Shop2 und die Sicherheit

Bei den Standard-JTL-Templates IDR-smooth, IDR greylight und JTL-Shop 2 ist die Ausführung des XSS-Codes nicht möglich, zumindest nicht in der aktuellen Version.
Zumindest nicht per Sucheingabe-Feld, weil hier das Suchwort nach Absenden nicht im Eingabefeld stehen bleibt. Mit dem Schnellkaufen-Eingabefeld jedoch auch mit diesen Templates möglich, weil die Eingabe ungefiltert auf der Seite ausgegeben wird.
Fix einbauen in die warenkorb.tpl (wie weiter oben beschrieben) und gut ist ;)
 

larsit0

Aktives Mitglied
24. November 2009
2
0
AW: JTL-Shop2 und die Sicherheit

Wow, cool!

Leider lese ich diesen Thread erst jetzt...

Wir haben den Shop gekauft (im November 2009) und ich war doch recht erstaunt, wie viele XSS-Lücken in der Schnellsuche unabhängig vom Template enthalten sind.

Das ist doch wohl ein Scherz, dass sowas seit einem Jahr bekannt ist und in der aktuellen Auslieferungsversion noch nicht gefixt wurde...?
Nach potenziellen SQL Injections etc. habe ich noch gar nicht gesucht, aber das wäre dann wohl der nächste (notwendige) Schritt.

... Schade, aber da kann ich mir auch osCommerce installieren, das ist zwar ähnlich (un)sicher, aber wenigstens werden da die Sachen gefixt - oder ist ein XSS keine "Sicherheitslücke" im Sinne der Programmierer? ;)

Wer auch mal möchte: XSS (Cross Site Scripting) Cheat Sheet

Ich habe darüber mittlerweile 5 gefunden, die allesamt über die Schnellsuche funktionieren - musste mir also noch nicht mal Mühe geben.
 

wwwKaufeDichReichde

Aktives Mitglied
27. September 2007
218
0
Chemnitz
AW: JTL-Shop2 und die Sicherheit

Wow, cool!

Leider lese ich diesen Thread erst jetzt...

Wir haben den Shop gekauft (im November 2009) und ich war doch recht erstaunt, wie viele XSS-Lücken in der Schnellsuche unabhängig vom Template enthalten sind.

Das ist doch wohl ein Scherz, dass sowas seit einem Jahr bekannt ist und in der aktuellen Auslieferungsversion noch nicht gefixt wurde...?
Nach potenziellen SQL Injections etc. habe ich noch gar nicht gesucht, aber das wäre dann wohl der nächste (notwendige) Schritt.

... Schade, aber da kann ich mir auch osCommerce installieren, das ist zwar ähnlich (un)sicher, aber wenigstens werden da die Sachen gefixt - oder ist ein XSS keine "Sicherheitslücke" im Sinne der Programmierer? ;)

Wer auch mal möchte: XSS (Cross Site Scripting) Cheat Sheet

Ich habe darüber mittlerweile 5 gefunden, die allesamt über die Schnellsuche funktionieren - musste mir also noch nicht mal Mühe geben.


Ich bin mehr als zufrieden mit den Shop. Wenn man einfach mal am Anfang bis Ende lesen würde ist das eine Kleinigkeit sowas auszufixen. Lieber bleibe ich bei einer kleinen Familie als sich in ein gemachtes Nest zu setzen wo alles nur billiger Standard ist. Es gab noch nie Probleme und wenn dann wurden Sie immer schnell gelöst. Dafür danke ich allen User und JTL.
 

larsit0

Aktives Mitglied
24. November 2009
2
0
AW: JTL-Shop2 und die Sicherheit

Mir ist wohl bewusst, dass es in diesem Thread eine "Lösung" gibt.
Bei einer bezahlten Software würde ich allerdings verlangen (!), dass Sicherheits-Updates nicht irgendwo im Forum zu finden sind, sondern entweder a) direkt auf der Homepage unter dem Download-Link angegeben sind oder b) (präferiert) bereits in der Auslieferungsversion gefixt werden!

Wenn der ADAC ein Problem mit dem Airbag beim Golf feststellt, verkauft VW den Golf auch nicht mit Fehler sondern behebt diesen. Das nennt man dann Qualitätsmanagement und Kundenservice.

Schön, wie man dann auch noch versucht, sowas runter zu spielen.
Es gab noch nie Probleme? Ein "Problem" ist es dann erst, wenn jemand die Lücken wirklich public macht und an die große Glocke hängt?
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu JTL Shop 5.4 - Seite 1 verschachtelt sich bei klick auf Seite 1 JTL-Shop - Fehler und Bugs 0
Neu Wie erstelle ich Bundles mit JTL Wawi? User helfen Usern 0
Neu HubSpot Anbindung an JTL-Wawi (CRM) User helfen Usern 1
Neu JTL WMS / WaWi / Retouren - Kundeneigentum an Kunden schicken Arbeitsabläufe in JTL-Wawi 1
JTL Voucher wird nicht versendet Einrichtung / Updates von JTL-Vouchers 0
Neu JTL-Ameise -Export - Alle Lieferanten funktioniert nicht JTL-Ameise - Fehler und Bugs 1
Neu JTL-Ameise -Export - Alle Lieferanten funktioniert nicht JTL-Ameise - Fehler und Bugs 0
Neu Update JTL Wawi von 1.0.0.0 auf 1.8.10.0 Installation von JTL-Wawi 8
Neu Shop 5.4 - Error 500 mit aktiviertem JTL Debug JTL-Shop - Fehler und Bugs 7
JTL-Vouchers und Shopify Allgemeine Fragen zu JTL-Vouchers 3
JTL-SHO 5 standard, downgrade zu CFE-Version, beide gehostet bei JTL Einrichtung JTL-Shop5 4
Neu Ausgabeweg => Beschreibungen werden nicht von JTL Wawi gezogen für Shop/ebay/sonst was User helfen Usern - Fragen zu JTL-Wawi 3
JTL-Stammtisch Köln 21.11.24 powered by go eCommerce Messen, Stammtische und interessante Events 0
Neu JTL Shop 5.4.0 eigene Inhalte/Seiten hinzufügen nicht möglich JTL-Shop - Fehler und Bugs 5
Neu JTL Shop Subscription wurde durch Umstellung auf "Advanced Edition" teils doppelt berechnet Allgemeine Fragen zu JTL-Shop 1
Neu JTL-Shop 5.4 - Aktuell 5.4.0 Releaseforum 0
Mailausgabe in JTL WaWi steuern (Rechnung mailen, Auftrag mailen etc.) JTL-Wawi 1.9 0
Neu JTL Pos + Epson Bondrucker - plötzlich keine TSE-Verbindung Allgemeine Fragen zu JTL-POS 0
Neu Dienstleistungen rund um JTL WaWi, WMS, Fulfillment Dienstleistung, Jobs und Ähnliches 2
JTL-MeetUp x eBay am 14.11.24 Messen, Stammtische und interessante Events 0
Neu Eigener Datenaustausch anstelle JTL-Connector? WooCommerce-Connector 3
Neu In Filiale umbuchen mit Packungsgröße und dort mit JTL-POS einzeln "verkaufen" User helfen Usern - Fragen zu JTL-Wawi 3
Neu direkte Anbindung jtl wawi zu otto User helfen Usern - Fragen zu JTL-Wawi 3
Störungen im Abruf von Extension-Store-Lizenzen durch JTL-Shops Störungsmeldungen 0
Neu JTL Shop5 Indexierung GSC - Seiten wurden innerhalb von Wochen aus dem Index geworfen Templates für JTL-Shop 10
Neu JTL-Connector Shopware aktuell nicht erreichbar Shopware-Connector 15
Neu Fehler 500 mit NOVAchild 5.3.1 in JTL-Shop 5.33 Templates für JTL-Shop 2
Neu JTL FEHLER! - JTL sendet falschen ISO-Code - Nordirland Versand mit DHL nicht mehr möglich JTL-ShippingLabels - Fehler und Bugs 4
Neu Betrug bei JTL? User helfen Usern - Fragen zu JTL-Wawi 3
Neu Alternative zu Sendcloud mit JTL Integration (Express Versand International) Arbeitsabläufe in JTL-Wawi 0
Neu Hat jemand die Transglobal API (oder das Excel Bulk tool) in JTL integriert ? User helfen Usern 0
Neu Shopartikel neu in JTL übertragen Shopware-Connector 0
Neu Anzeige der Vorgangsstatus im JTL Shop 5 Betrieb / Pflege von JTL-Shop 1
JTL Vouchers automatisch nach Zahlungseingang an Kunden versenden Allgemeine Fragen zu JTL-Vouchers 5
Neu Wichtige Infos zu GPSR-Attributen für JTL-eazyAuction und kommende JTL-Wawi Version 1.9.6.0 Einrichtung und Installation von JTL-eazyAuction 50
Neu JTL WAWI DPD Paketomat Österreich Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 1
JTL-Stammtisch Bielefeld am 29.10.24 powered by DataWow/fivelab GmbH Messen, Stammtische und interessante Events 0
JTL-Datenbankverwaltung keine Anmeldung am Server - Neuinstallation - Win 10 / Win 11 JTL-Wawi 1.9 4
Neu JTL ERP‑Connector Shopify-Connector 0
Neu WooCommerce JTL Connector nach Back-Up ist deaktiviert WooCommerce-Connector 1
Neu Gleichzeitiger Zugriff von zwei Nutzern auf JTL-Shop-Backend Allgemeine Fragen zu JTL-Shop 2
Neu Umzug von Pickware in Shopware 6 zu JTL User helfen Usern - Fragen zu JTL-Wawi 2
Neu Preisdarstellung: keine „ab“-Preise mehr mit Staffelpreisen für Produkte ohne Variationen (JTL Shop 5.3.3) Allgemeine Fragen zu JTL-Shop 1
Fehler bei Update von 1.5.55.8 auf 1.7.15.6 ( Unbehandelte Ausnahme #7110FFD83C0136E0 vom Typ JTL.Database.SqlUpdater.UpdateException) JTL-Wawi 1.7 0
Neu externe Gutscheine (ohne JTL Voucher) User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL-Worker als Windows-Dienst - wie macht Ihr das? User helfen Usern - Fragen zu JTL-Wawi 8
Neu JTL Vouchers - Automatisches Versenden von Gutschein-Codes User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL-Connector funktioniert nicht mehr WooCommerce-Connector 3
JTL Wawi Update 1.8.12.4 auf 1.9.5.2 nicht möglich JTL-Wawi 1.9 3
Neu JTL Spam Mails.... Smalltalk 6

Ähnliche Themen