Neu Was gibt es für Sicherheitsfunktion im JTL Shop gegen Angriffe?

Stauli

Neues Mitglied
28. Oktober 2019
20
2
Welche Sicherheitsfunktionen gibt es im JTL- Shop um Angriffe wie zum Beispiel (Cross-Site Scripting (XSS), SQL-Injection, usw.) abzuwehren?
Der xtcmodified 2.0 zum Beispiel hat so etwas von Haus aus dabei, da wird die URL und alle Eingabefelder überwacht.

Wird zum Beispiel an der URL, so was angefügt:
Code:
seite.html?arg=<script type="text/javascript">alert("XSS")</script>
dann wird man sofort geblockt und sieht nur eine weiße Seite!

Wie sieht’s da beim JTL Shop aus, gibt es da so etwas auch?
 

JulianG

Administrator
Mitarbeiter
14. November 2013
1.254
398
Hallo,

also es gibt da keine pauschale universalgültige Sache, die alles Übel verhindert und so kann man das leider nicht generell mit Ja/Nein beantworten. Unsere Entwicklung ist steht's darauf bedacht diese Themen zu berücksichtigen und für jede Funktion im Shop werden entsprechende Sicherheitsmaßnahmen getroffen. Genau wie bei jeder anderen Software fallen leider aber doch mal Schwachpunkte (meist eher bei alten Codestellen) auf, aber wenn das der Fall ist, werden diese auch schnellstmöglich gefixed. Diese Updates sind dann auch als Sicherheitsupdates ausgeschrieben, wie du im Releasethread sehen kannst: https://forum.jtl-software.de/threads/jtl-shop-4-06.114397/
 
  • Gefällt mir
Reaktionen: dekodi

Stauli

Neues Mitglied
28. Oktober 2019
20
2
Ja das ist schon so alles richtig, dass man nicht alles verhindern kann und auch das es immer irgendwo mal eine Schwachstelle gibt. Aber mit dieser Methode wie ich es oben schon beschrieben habe, sie beim xtmodified zum Einsatz kommt (nennt sich dort xss-secure) werden die URLs sowie alle Eingabe Felder geprüft. Und sollte sich da irgendwo Befehle und Sonderzeichen drin befinden, die zum Ausführen für Cross-Site Scripting (XSS), SQL-Injection, usw. benötigt werden, so werden diese User IP gesperrt für eine einstellbare Zeit z.B. für 3 Stunden.


Ja Sicherheitsupdate im Nachhinein sind das ein, aber so läuft man dem Problem immer nur hinterher und versucht es nicht schon vornherein zu unterbinden! Im Moment wird eben erst gehandelt, wenn es zu spät ist und der Hacker schon zutritt zum System hat! Ist vergleichbar mit einem Mehrfamilien Haus, wo alle Türen erstmal offenstehen. Ist dann ein Dieb in einer dieser Wohnungen reingekommen und hat dort Schaden angerichtet wird diese Wohnungstür geschlossen! Kommt ein anderer Dieb und geht in eine andere Wohnung und richtet dort auch Schaden an, wird dann diese Tür geschlossen (Aktuelle Situation)!

Aber warum schließt man nicht einfach die Haustür zu, so das ein Dieb erst gar nicht in das Haus reinkommt? ;)

Ich finde diese Weise von xtmodified sehr gut gelöst und würde mir wünschen, dass dies auch so im JTL Shop umgesetzt wird. Das es keine 100%tige Sicherheit für alles gibt, ist mir schon klar! Aber es würde den JTL Shop um weiten sicherer machen! Und das sollte doch im Interesse der Shop-Betreiber sein!

Schaut euch doch mal die Datei vom xtmodified an, nennt sich xss_secure.php vielleicht könnte man dieses Prinzip auch so im JTL Shop integrieren!
 

Stauli

Neues Mitglied
28. Oktober 2019
20
2
CSRF-Token gibt es im JTL-Shop schon seit Jahren - und das hat rein gar nichts mit SQL-Injections zu tun.


CSRF-Token meine ich nicht!

Sondern gib doch mal im xtmodified dass hier ein, geht dazu auf diese URL https://stable.modified-shop.org/ vom DEMO Shop xtmodified und füge das aus dem Codefeld hinter der URL ein dann wird du sehen was passiert! Du wirst für 1 Stunde keinen Zugriff mehr auf die Seite haben! Denn der Shop sieht das enthaltene Begriffe wie „script“ „alert“ Sonderzeichen wie „(„ „>“ enthalten sind, was zum Beispiel für Angriffe benötigt wird

Code:
shopping_cart.php?email=<script type="text/javascript">alert("XSS")</script>


Dann mach das mal im JTL Shop, da passiert nix! Ein Hacker kann da Stunden lang seine Angriffe ausführen, bis er erfolg hat!

Code:
https://demo.jtl-shop.blackbike-forest.de/warenkorb.php?email=<script type="text/javascript">alert("XSS")</script>
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Webinar „Shipping 2.0“ am Dienstag, 14.07.2026 – über 500 Anmeldungen, was es Neues gibt und wie ihr das Beste daraus macht News, Events und Umfragen 1
Neu JTL-Shop - Wechsel von Test zum Livebetrieb - was beachten ? Installation / Updates von JTL-Shop 2
Neu Muss bei DHL Express ebenfalls was geändert werden, aufgrund DHL 4.0? User helfen Usern - Fragen zu JTL-Wawi 1
Neu XRechnung, ZUGFeRD, Was hängt wie zusammen? User helfen Usern - Fragen zu JTL-Wawi 4
Neu JTL Editionen / JTl Wawi / Shopify / Durchblick verloren Kosten / Was brauche ich wirklich User helfen Usern - Fragen zu JTL-Wawi 3
Neu Versanderweiterung in EU- Länder - Was wird vergessen? Business Jungle 5
QR-Code auf der Rechnung gibt 100-fachen Betrag des eigentlichen Rechnungsbetrages aus JTL-Wawi 2.0 5
Neu Gibt es in der WaWi-Datenbank einen Zeitstempel, der anzeigt wann ein Kunde sich in einem bestimmten Shop registriert hat? User helfen Usern - Fragen zu JTL-Wawi 3
Neu JSON-Download nicht möglich - Gibt es eine andere Quelle? Schnittstellen Import / Export 1
Neu Plugin: JTL Exportformat Google Shopping gibt <g:google_product_category> unter Shop 5.7.1 und Wawi 2.0.4 nicht aus Plugins für JTL-Shop 1
Neu Pickliste mit maximaler SKU-Anzahl – gibt es eine Lösung? Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 4
Angebliche externe Aufträge "für Rechnungserstellung freigeben" und Rechnungen erstellen. Gibt es dazu eine akzeptable Erklärung von JTL? JTL-Wawi 1.11 1
hipping 4.0 gibt fehler: Error converting value 500 to type 'Shipping.DHL.GKVAPI40.Shared.RequestStatus'. Path 'status', line 1, position 13. JTL-Wawi 1.11 3
Gelöst: Shipping 4.0 gibt fehler: The product entered is unknown. JTL-Wawi 1.11 6
Neu Gini Scan & Pay wird zum 1. Juni 2026 eingestellt. Gibt es Alternativen? Plugins für JTL-Shop 8
Neu Suche 10–15 JTL-Shops für kostenlose JTL-Shop-Analyse (verschiedene Branchen) Dienstleistung, Jobs und Ähnliches 0
Neu Wir suchen Mitstreiter für ein gemeinsames Konfigurator-Projekt Dienstleistung, Jobs und Ähnliches 0
Neu Wir suchen Mitstreiter für ein gemeinsames Konfigurator-Projekt User helfen Usern - Fragen zu JTL-Wawi 7
In Diskussion Workflow für Erinnerungen an bevorstehende Lieferungen JTL-Workflows - Ideen, Lob und Kritik 0
Neu Wie stelle ich Retouren in JTL für DPD ein? JTL-ShippingLabels - Ideen, Lob und Kritik 1
Neu JTL Shop Plugin - BD Automatisierter Widerruf (Von Händler für Händler - Schluss mit Mail-Chaos & Spam-Sorgen!) Plugins für JTL-Shop 0
Wroker macht keinen abgleich für Kaufland JTL-Wawi 2.0 8
Neu Beta-Tester gesucht: Produktdaten aus Artikelfotos schneller für JTL/CSV vorbereiten Dienstleistung, Jobs und Ähnliches 0
Neu Kundengruppeneinstellungen für Mindestabnahme und Abnahmeintervall löschen User helfen Usern - Fragen zu JTL-Wawi 0
Neu Installationsdatei für JTL‑Wawi 1.9.6.5 Installation von JTL-Wawi 2
Wie lange braucht ihr aktuell für die Anlage eines neuen Artikels? JTL-Wawi App 3
Neu kostenlos: DHL Sendungsverfolgung für JTL-Wawi – Web-Dashboard mit Frühwarnsystem Schnittstellen Import / Export 0
In Diskussion Tool für Abrechnung von Fulfillment Dienstleistungen Arbeitsabläufe im Fulfillment Network 0
Neu Widerrufsbutton für JTL-Shop 4 Allgemeine Fragen zu JTL-Shop 17
Neu Keine Labels für Warenpost international über Packtisch JTL-ShippingLabels - Fehler und Bugs 8
Neu Laut Backend Shop Update für Shop 5.71 - Download nicht zu finden? Betrieb / Pflege von JTL-Shop 3
Neu Meta Shop seit September 2025: JTL-Lösung für neue Checkout-URL gesucht Allgemeine Fragen zu JTL-Shop 0
Neu Artikelname & Beschreibung angepasst für jeweiligen Marktplatz Arbeitsabläufe in JTL-Wawi 1
Neu OnFinds: KI-Suche für JTL-Shop mit fairer Abrechnung nach Artikelanzahl. 30 Tage kostenlos testen Plugins für JTL-Shop 0
API 2.1 für OnPrem? JTL-Wawi 2.0 6
Neu Dummy-ID oder Freiposition für Angebot mit mehrzeiliger Beschreibung JTL-Wawi - Ideen, Lob und Kritik 7
Neu Neue Kennzeichnungspflicht für Elektrogeräte (Altgeräterücknahme) Betrieb / Pflege von JTL-Shop 4
Neu Freelancer für JTL-Wawi, Shop & Prozessautomatisierung Dienstleistung, Jobs und Ähnliches 2
Neu Exportgenehmigung / Ausfuhrgenehmigung automatisch für Auslandskunden als Aufpreis Allgemeine Fragen zu JTL-Shop 2
Für Ihren SQL-Server wurde ein Service Pack zur Verfügung gestellt - nö, gelogen, wie kriege ich die Meldung weg? JTL-Wawi 1.11 15
Neu Ab welcher JTL Wawi Version ist der OnPremise REST API Endpoint POST /v2/returns oder POST /v1/returns für Create Return verfügbar? Schnittstellen Import / Export 0
Neu Seller2Go – Mobile App & JTL-Plugin für Bestellungen, Support und Produktmanagement Plugins für JTL-Shop 0
Neu Neues Plugin: Erweiterter Widerrufsbutton für JTL-Shop Plugins für JTL-Shop 9
JTL-Worker 2.0 - Einrichtung als Dienst - Auffälligkeiten und Problemlösungen für manche JTL-Wawi 2.0 3
Neu Muss man für DHL Versenden 4.0 einen neuen Benutzer bei DHL anlegen? JTL-ShippingLabels - Ideen, Lob und Kritik 2
Neu Retourenetikett für Briefe kann unter Internetmarke 2.0 nicht erstellt werden JTL-ShippingLabels - Fehler und Bugs 5
Neu Neue Tracking-URL für DPD JTL-ShippingLabels - Fehler und Bugs 4
AboutYou keine Felder für GPSR Daten SCX-(Ninepoint)-Anbindungen 0
globale Angebotsvorlage anpassen für eBay Angebote "Artikelspezifisch" JTL-Wawi 1.11 0
Neu Connectorupdates für Shopware 6.7.7 bzw 6.7.8? Shopware-Connector 39

Ähnliche Themen