[klein]

Sajten Prestashop, som säljer en webbplattform för e-handel och webbutiker, hackades natten mot onsdagen förra veckan.

Hacket resulterade i att skadlig kod tillfördes ett skript som används vid administration av nyhetsutskick på e-handelssajterna.


http://www.idg.se/2.1085/1.400404/e-...ntals-drabbade

[foks]

Jag tycker både IDGs och Prestashops beskrivning av attacken är väldigt vag. Menar de att den skadliga koden lades in i scripten man laddar hem och att den som installerade/uppdaterade Prestashop vid den tidpunkten riskerar att ha fått med koden?

[Droog]

Originaltråden på Prestashops webbplats finns här:
http://www.prestashop.com/forums/top...vulnerability/
Där man kan läsa om vad som egentligen hänt. Jag har inte Prestashop själv så jag har inte läst det så noga.
Men det tog bara Prestashop två timmar att svara, och efter fyra timmar informerade de om att ärendet hade högsta prioritet på företaget, så de skötte det bra.

[DavidEW]

Jo, jag slängde mig på FTPn för att kolla om jag var drabbad. Det var jag. En .php fil hade letat sig in i Modules mappen. Dock ingen skada skedd vad jag kunde se.

Ändrade lösen i databasen, körde Prestashops fix och ändrade namnet på admin-mappen. Gick på 2 röda.

Men nu undrar man om det var den enda missen hackare har utnyttjat? Om det kan finnas fler?

[pontus]

Ok, blir lite offtopic. Men känns som att det är mycket säkerhetsproblem i färdiga script som Prestashops/Wordpress/osv. Är det pga. att de är så välsprida så det finns ett stort intresse att hacka dem och de är i grunden lika säkra som något du kodar själv eller är det pga att källkoden är öppen??

[foks]

Det beror mest på hur aktiva personerna som administerar scriptet är. Både Wordpress och Prestashop har många och aktiva användare, och rätt personer i ledningen så att uppdateringar kommer ut snabbt. Wordpress anser jag är väldigt säkert, men tyvärr tar de inte något ansvar alls för plugins och tema och då blir säkerheten därefter. Gallery3 går så långt att de betalar för upptäckta säkerhetshål.

På andra sidan av skalan har vi osCommerce som dröjde ungefär två år med att täppa till ett känt säkerhetshål eftersom de även ville lägga in nya funktioner samtidigt.

[jonny]

Citat:

Ursprungligen postat av pontus

Ok, blir lite offtopic. Men känns som att det är mycket säkerhetsproblem i färdiga script som Prestashops/Wordpress/osv. Är det pga. att de är så välsprida så det finns ett stort intresse att hacka dem och de är i grunden lika säkra som något du kodar själv eller är det pga att källkoden är öppen??

Security by obscurity. Det beror ju. Om en nybörjare kodar till något i PHP är risken säkert större för säkerhetshål medan risken att de ska bli upptäcka troligen är mindre eftersom koden inte är välkänd.

De stora färdiga scripten har ju kod som är tillgänglig och kan granskas i detalj. Eftersom så många använder sig av dem är det ju också mer intressant att hitta metoder för att hacka wordpress än pelles egna hemsida. Skulle du hitta ett säkerhetshål i wordpress finns tusentals webbplatser som är mottagliga.

Det är min uppfattning.

[SimonP]

Just detta hål var mkt allvarligt eftersom alla Administratörer som loggade in i Admin-panelen smittade sin egen shop (v1.4.x) under de timmar som prestashops domän var hackad.

Detta med att startsidan inuti Admin-paneler hämtar info från webbapplikationens domän finns det ju både fördelar och nackdelar med, och det är många andra webbapplikationer som gör det: vBulletin, WordPress, SMF m.fl. Men ifall de filtrerar infon rätt så ska det inte vara nån några större risker. Att de får reda på IP-nummret till användarens server går iofs inte att "skydda" sig mot så länge funktionen är aktiverat.