Neu Was gibt es für Sicherheitsfunktion im JTL Shop gegen Angriffe?

[Stauli]

Welche Sicherheitsfunktionen gibt es im JTL- Shop um Angriffe wie zum Beispiel (Cross-Site Scripting (XSS), SQL-Injection, usw.) abzuwehren?
Der xtcmodified 2.0 zum Beispiel hat so etwas von Haus aus dabei, da wird die URL und alle Eingabefelder überwacht.

Wird zum Beispiel an der URL, so was angefügt:

seite.html?arg=<script type="text/javascript">alert("XSS")</script>

dann wird man sofort geblockt und sieht nur eine weiße Seite!

Wie sieht’s da beim JTL Shop aus, gibt es da so etwas auch?

 

[JulianG]

Hallo,

also es gibt da keine pauschale universalgültige Sache, die alles Übel verhindert und so kann man das leider nicht generell mit Ja/Nein beantworten. Unsere Entwicklung ist steht's darauf bedacht diese Themen zu berücksichtigen und für jede Funktion im Shop werden entsprechende Sicherheitsmaßnahmen getroffen. Genau wie bei jeder anderen Software fallen leider aber doch mal Schwachpunkte (meist eher bei alten Codestellen) auf, aber wenn das der Fall ist, werden diese auch schnellstmöglich gefixed. Diese Updates sind dann auch als Sicherheitsupdates ausgeschrieben, wie du im Releasethread sehen kannst: https://forum.jtl-software.de/threads/jtl-shop-4-06.114397/

 

[Stauli]

Ja das ist schon so alles richtig, dass man nicht alles verhindern kann und auch das es immer irgendwo mal eine Schwachstelle gibt. Aber mit dieser Methode wie ich es oben schon beschrieben habe, sie beim xtmodified zum Einsatz kommt (nennt sich dort xss-secure) werden die URLs sowie alle Eingabe Felder geprüft. Und sollte sich da irgendwo Befehle und Sonderzeichen drin befinden, die zum Ausführen für Cross-Site Scripting (XSS), SQL-Injection, usw. benötigt werden, so werden diese User IP gesperrt für eine einstellbare Zeit z.B. für 3 Stunden.


Ja Sicherheitsupdate im Nachhinein sind das ein, aber so läuft man dem Problem immer nur hinterher und versucht es nicht schon vornherein zu unterbinden! Im Moment wird eben erst gehandelt, wenn es zu spät ist und der Hacker schon zutritt zum System hat! Ist vergleichbar mit einem Mehrfamilien Haus, wo alle Türen erstmal offenstehen. Ist dann ein Dieb in einer dieser Wohnungen reingekommen und hat dort Schaden angerichtet wird diese Wohnungstür geschlossen! Kommt ein anderer Dieb und geht in eine andere Wohnung und richtet dort auch Schaden an, wird dann diese Tür geschlossen (Aktuelle Situation)!

Aber warum schließt man nicht einfach die Haustür zu, so das ein Dieb erst gar nicht in das Haus reinkommt?

Ich finde diese Weise von xtmodified sehr gut gelöst und würde mir wünschen, dass dies auch so im JTL Shop umgesetzt wird. Das es keine 100%tige Sicherheit für alles gibt, ist mir schon klar! Aber es würde den JTL Shop um weiten sicherer machen! Und das sollte doch im Interesse der Shop-Betreiber sein!

Schaut euch doch mal die Datei vom xtmodified an, nennt sich xss_secure.php vielleicht könnte man dieses Prinzip auch so im JTL Shop integrieren!

 

[MichaelH]

Ich verstehe nichts davon, aber ich finde es gut !

 

[FMoche]

CSRF-Token gibt es im JTL- Shop schon seit Jahren - und das hat rein gar nichts mit SQL-Injections zu tun.

 

[Stauli]

CSRF-Token gibt es im JTL-Shop schon seit Jahren - und das hat rein gar nichts mit SQL-Injections zu tun.

CSRF-Token meine ich nicht!

Sondern gib doch mal im xtmodified dass hier ein, geht dazu auf diese URL https://stable.modified-shop.org/ vom DEMO Shop xtmodified und füge das aus dem Codefeld hinter der URL ein dann wird du sehen was passiert! Du wirst für 1 Stunde keinen Zugriff mehr auf die Seite haben! Denn der Shop sieht das enthaltene Begriffe wie „script“ „alert“ Sonderzeichen wie „(„ „>“ enthalten sind, was zum Beispiel für Angriffe benötigt wird

shopping_cart.php?email=<script type="text/javascript">alert("XSS")</script>

Dann mach das mal im JTL Shop, da passiert nix! Ein Hacker kann da Stunden lang seine Angriffe ausführen, bis er erfolg hat!

https://demo.jtl-shop.blackbike-forest.de/warenkorb.php?email=<script type="text/javascript">alert("XSS")</script>