Session Fixation in osCommerce und xt:Commerce

Es wird von eine „Session Fixation“-Schwachstelle in den Shopsystemen von osCommerce und xt:Commerce berichtet.

Falls schnell Hilfe benötigt wird, bevor Schaden durch diese Schwachstelle entsteht, empfehle ich das Einbinden der SSEQ-LIB Bibliothek. Dadurch wird die Schwachstelle entschärft bis Abhilfe in Form eines Patches angeboten und eingespielt ist.

SSEQ-LIB auf Server einrichten

  1. SSEQ-LIB: Installation
  2. SSEQ-LIB: Konfiguration

osCommerce schützen

Editiere die Datei „application_top.php“ aus dem Verzeichnis „includes“. Ändere diese wie folgt:
<br />
<?
php
/* &#91;...&#93; */

// set the level of error reporting
  
error_reporting(E_ALL &#038; ~E_NOTICE);

/* HIER SSEQ-LIB EINFÜGEN */
include_once('sseq-lib/seq_lib.php');

// check if register_globals is enabled.
/* &#91;...&#93; */
?><br />

Mehr ist nicht nötig. Die Änderung bei xt:Commerce sollte ähnlich sein (ich habe hier leider keine Version zum Testen). Jetzt kann keine „Session Fixation“ mehr durchgeführt werden, da SSEQ-LIB automatisch die Session-ID bei jeder Verwendung ändert. Die durch den Angreifer vorgegebene Session-ID ist also gleich nach dem ersten Klick wieder ungültig und gibt ihm keinen Zugang auf die Nutzerdaten.

Das könnte Dich auch interessieren …

1 Antwort

  1. andre sagt:

    die standardeinstellungen dieses paketes funzten nur mit der standardkonfiguration von osc/xtc d. h. suchmachinienfreundliche urls mit dem „buy_now“- button gehen nur mit einer kleinen modifikation in der /includes/classes/product.php

    ca. ab zeile: 351

    Security- SSEQ- Patch
    [CODE]
    return ‚‚.xtc_image_button(‚button_buy_now.gif‘, TEXT_BUY.$name.TEXT_NOW).‘‚;
    [/CODE]
    ersetzen:

    [CODE]
    return ‚‚.xtc_image_button(‚button_buy_now.gif‘, TEXT_BUY.$name.TEXT_NOW).‘‚;
    [/CODE]

    ist nicht die schönste lösung aber geht ;-)

    gruß
    andré

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.