|
|
|||||||
| Avvisi | ||||||
Spring Globa Mail - Servizi Raccomandate Estero
AICEL-UPS: l'e-commerce viaggia in prima classe!
CertiRe - Servizi Certificazione Recensioni
|
 |
| Strumenti discussione | Modalità visualizzazione |
|
#1
|
||||
|
||||
Sito e-commerce attaccato da hacker - oscommerce
Buon giorno ragazzi, stamattina ho scoperto che il mio sito è stato attaccato da hacker. Contattando Aruba mi ha detto che è una falla di oscommerce a voi risulta?
Ecco cosa mi hanno scritto: Gentile cliente, in merito alla sua segnalazione abbiamo effettuato le opportune verifiche riscontrando che il motivo delle anomalie del suo sito è stata l'azione malevola di hacker che sfruttando una vulnerabilità nota dell'applicativo OsCommerce hanno provveduto ad uploadare file malevoli e similari. Per maggiori informazioni circa tale vulnerabilità la invito a fare riferimento al seguente link: http://forums.oscommerce.com/topic/3...-in-oscommerce La vulnerabilità in oggetto consente di bypassare l'Area Amministrativa e di poter accedere al file di configurazione e uploadare/downloadare file senza problemi. Una dimostrazione di tale falla è il seguente link che, come può vedere, senza richiedere il login mostra i file della sua cartella "/admin": Al fine di evitare il ripresentarsi di tali situazioni la invito a verificare le vulnerabilità note dell'applicativo da lei utilizzato presso siti di sicurezza quali, ad esempio: www.secunia.com www.securityfocus.com Al fine di ripristinare quanto prima la corretta visibilità del suo sito la invito a recuperare copia di Backup dal Backup Settimanale e, successivamente, a ripristinare tutti i file nella root del suo sito. Fatto ciò la invito a provvedere ad aggiornare il suo applicativo ad una versione priva di falle. Per quanto riguarda la correzione della vulnerabilità, una volta aggiornata la versione di OsCommerce all'ultima disponibile, la invito ad effettuare la seguente modifica al file "admin/includes/application_top" alla riga 124 sostituendo il seguente codice che troverà: // redirect to login page if administrator is not yet logged in if (!tep_session_is_registered('admin')) { $redirect = false; $current_page = basename($PHP_SELF); con il seguente: // redirect to login page if administrator is not yet logged in if (!tep_session_is_registered('admin')) { $redirect = false; $current_page = basename($_SERVER['SCRIPT_NAME']); é capito anche a voi? grazie per la collaborazione ... non so proprio che fare!
__________________
http://www.stickerland.it - http://www.patchricamate.it - http://www.stickerland.biz |
|
#2
10-06-2010, 19:53
|
|||
|
|||
|
Le indicazioni che ti hanno dato sono sorrette.
OSCommerce oramai è una piattaforma poco implementata ed i bachi di sicurezza sono altrettanto noti |
|
| Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
| Strumenti discussione | |
| Modalità visualizzazione | |
|
|
Discussioni simili
|
||||
| Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
| Modulo Mobile per sistemi oscommerce/oscommerce pro | darkamex | Offro | 1 | 30-08-2011 12:25 |
| sito nuovo con oscommerce | dvdata | Web Marketing | 7 | 28-10-2008 20:30 |
| [m]: Ecco la nuova generazione di hacker | BarbaraBonaventura | RASSEGNA STAMPA | 0 | 19-09-2005 18:46 |
Modalità lineare
