PDA

Visualizza la versione completa : Vulnerabilita' in modulo Prestashop


Little Hawk
10-12-2016, 20:25
Un amico voleva mettere su un negozio online, cosi' armato di ansible gli ho preparato velocemente un vps con l'occorrente. Il software che ha scelto e' Prestashop perche' ha potuto acquistare un modulo/importer da un suo fornitore che automaticamente importa 8000+ prodotti dal loro catalogo a quello del mio amico, e sempre automaticamente aggiunge il ricarico desiderato a seconda della fascia di prezzo. In piu', 'sti tizi fanno drop shipping - cosi' il mio amico deve giusto mettere il sito online e praticamente non fa una mazza (a parte la gestione del server che gli faccio io, giusto manutenzione ordinaria) :D

Tutto bello no? Purtroppo mentre investigavo la lentezza nella "pulizia" del catalogo, ho scoperto che lo script che cancella un prodotto puo' essere richiesto direttamente con il codice del prodotto da eliminare - il tutto senza richiedere autenticazione. Ho spiegato al mio amico che basterebbe qualche minuto per scrivere uno script che cancelli l'intero catalogo in poco tempo.

Ora la domanda e': possibile che questi tizi abbiano "dimenticato" di assicurarsi che una pagina/script cosi' importante faccia autenticazione dell'utente? Ho il sospetto che l'abbiano fatto apposta, anche se non so per quale motivo. Il dubbio ce l'ho anche perche' il modulo e' stato ritirato dal marketplace di Prestashop e lo vendono direttamente adesso; mi chiedo se quelli di Prestashop o qualche altro cliente che ha acquistato il modulo si e' accorto del problema.

Fatto sta che non ci vuole niente per cancellare l'intero negozio da remoto! Secondo voi ci sono gli estremi per una denuncia? Anche dato che il modulo e' a pagamento.

ps. nel caso qualcuno di voi usi Prestashop con un modulo per import/dropshipping e si sta chiedendo se e' vulnerabile, posso dare dettagli in privato cosi' non faccio nomi qui pubblicamente.

Alhazred
10-12-2016, 21:17
Non credo si possa procedere con una denuncia, gli basterebbe dire che si tratta di un bug per scamparsela, anche se in realtà fosse fatto volontariamente, non si potrebbe dimostrare.
Contatta gli sviluppatori e fa presente il problema, vedi come reagiscono.

rebelia
10-12-2016, 21:53
Contatta gli sviluppatori e fa presente il problema, vedi come reagiscono.

anche secondo me e' la scelta piu' corretta

Little Hawk
11-12-2016, 10:21
Uhm ok vedo un po' che mi dicono...

Little Hawk
11-12-2016, 19:40
Dunque ho seguito il vostro consiglio e ho suggerito al mio amico di contattarli a proposito di quel problema e altro. Ecco cosa gli hanno risposto:

"[...] Tenete conto che come da ABC di Ajax e Sicurezza in ambienti Ajax nessuno dovrebbe venire a conoscenza di URL "sensibili".

Tenete conto che inoltre il fatto che il modulo sia creato in PHP e vi dia accesso al codice non vi autorizza a fare reverse engineering , questo "è molto grave". Possiamo accettare che vogliate un maggiore livello di sicurezza ma non accetteremo altre osservazioni relative al codice che è coperto dai diritti d'autore."

LOL security through obscurity. Questi non sanno neanche cosa significano sicurezza e reverse engineering.

Vi rendete conto di che razza di gente questa e'? Questi si meritano che gli butti giu' i loro sistemi. Che deficienti.

Linkato
11-12-2016, 20:02
LOL security through obscurity. Questi non sanno neanche cosa significano sicurezza e reverse engineering.

Vi rendete conto di che razza di gente questa e'? Questi si meritano che gli butti giu' i loro sistemi. Che deficienti.

Non ho capito, quindi tu non accedi a questi url da lato server? Non occorre alcuna autenticazione? Se sì allora sono proprio degli idioti o forse questo contatto è di primo livello, tipo semplice assistenza e sanno poco di programmazione...

U235
11-12-2016, 20:05
Dunque ho seguito il vostro consiglio e ho suggerito al mio amico di contattarli a proposito di quel problema e altro. Ecco cosa gli hanno risposto:

"[...] Tenete conto che come da ABC di Ajax e Sicurezza in ambienti Ajax nessuno dovrebbe venire a conoscenza di URL "sensibili".

Tenete conto che inoltre il fatto che il modulo sia creato in PHP e vi dia accesso al codice non vi autorizza a fare reverse engineering , questo "è molto grave". Possiamo accettare che vogliate un maggiore livello di sicurezza ma non accetteremo altre osservazioni relative al codice che è coperto dai diritti d'autore."

LOL security through obscurity. Questi non sanno neanche cosa significano sicurezza e reverse engineering.

Vi rendete conto di che razza di gente questa e'? Questi si meritano che gli butti giu' i loro sistemi. Che deficienti.


Le classiche risposte di m... che danno quando colti in castagna nelle loro mancanze non sanno che inventarsi...

cit:
"[...] Tenete conto che come da ABC di Ajax e Sicurezza in ambienti Ajax nessuno dovrebbe venire a conoscenza di URL "sensibili".
Che meravigliosa perla di ignoranza :unz:
Magari se insisti un po ti dicono anche che da ABC ajax non si possono fare chiamate extradominio e quindi puoi stare sereno...

Riguardo appunto al fatto che vuoi un maggiore livello di sicurezza: è un tuo diritto visto che la manutenzione del sistema è a carico tuo. Certo che loro se ne fregano... a sto punto da cliente aspetterei che "qualcuno" mi cancelli un articolo per poi denunciarli facendo presente che loro erano a conoscenza della falla e non lo hanno risolto volutamente.

Little Hawk
11-12-2016, 20:10
Non ho capito, quindi tu non accedi a questi url da lato server? Non occorre alcuna autenticazione? Se sì allora sono proprio degli idioti o forse questo contatto è di primo livello, tipo semplice assistenza e sanno poco di programmazione...

No!! Ti basta il browser per aprire quell'URL senza autenticazione con un codice prodotto che puoi trovare nelle pagine del sito. Non ci vuole niente ad automatizzare la cancellazione dell'intero catalogo.



Le classiche risposte di m... che danno quando colti in castagna nelle loro mancanze non sanno che inventarsi...

cit:
"[...] Tenete conto che come da ABC di Ajax e Sicurezza in ambienti Ajax nessuno dovrebbe venire a conoscenza di URL "sensibili".
Che meravigliosa perla di ignoranza :unz:

Riguardo appunto al fatto che vuoi un maggiore livello di sicurezza: è un tuo diritto visto che la manutenzione del sistema è a carico tuo. Certo che loro se ne fregano... a sto punto da cliente aspetterei che "qualcuno" mi cancelli un articolo per poi denunciarli facendo presente che loro erano a conoscenza della falla e non lo hanno risolto volutamente.

Io per ora ho suggerito al mio amico di farsi rimborsare il costo del modulo e di mandarli a quel paese. Ma sto anche valutando altro :D

Alhazred
11-12-2016, 20:27
Io per ora ho suggerito al mio amico di farsi rimborsare il costo del modulo e di mandarli a quel paese. Ma sto anche valutando altro :D
Vista la risposta ottenuta, io voterei "altro" :mem:

Poi magari si scopre che dietro la società che sviluppa questo modulo c'è qualche "cialtrone" (cit. stardom (http://forum.html.it/forum/showthread.php?threadid=2948270)) :D

Little Hawk
11-12-2016, 21:04
Vista la risposta ottenuta, io voterei "altro" :mem:

Poi magari si scopre che dietro la società che sviluppa questo modulo c'è qualche "cialtrone" (cit. stardom (http://forum.html.it/forum/showthread.php?threadid=2948270)) :D

Cialtrone e' a dir poco :D

Cmq

http://i.imgur.com/BsU3h2n.png

Loading