1 hour ago, Mediacom87 said:J'ai produit pas mal d'articles sur le sujet
https://www.mediacom87.fr/securite-prestashop-proactive-ou-corrective/
Merci pour cet excellent article !
Sans surprise, il signale plusieurs vulnérabilités dans ma configuration, y compris une critique liée à l'injection SQL pour les versions antérieures à la 1.7.8.7. Je suis actuellement sur la version 1.7.8.3, mais cette faille a déjà été corrigée. Le module ne semble pas prendre en compte les correctifs appliqués.
Ce qui me préoccupe avec PrestaScan Security, c'est qu'il s'agit simplement d'un module créé par PrestaShop qui se limite à comparer les numéros de version avec les vulnérabilités connues. Il n'effectue pas de véritable analyse de sécurité sur la boutique, ce qui semble être une manière de nous inciter à rester dans leur écosystème pour acheter d'autres thèmes et modules.
Il me recommande naturellement de mettre à jour vers la dernière version de PrestaShop, ce qui entraînerait l'achat d'un nouveau thème, le renouvellement de tous les modules et le paiement pour un développeur pour les intégrations . C'est un investissement considérable, d'autant plus que je n'ai pas de certitude qu'il y à eu une éventuelle attaque de ma boutique.
J'ai essayé le script Cleaner.php, qui me paraît plus objectif .
Il me fournit une liste de fichiers .js à vérifier ce que je vais m'empresser de faire.
Vous avez mentionné un risque de piratage selon vous, de quelle nature est cette vulnérabilité ?
S'agit-il d'une faille XSS ?
Je tiens à préciser que je suis actuellement hébergé sur un serveur nginx, et les en-têtes de sécurité HTTP la protection contre les attaques XSS sont correctement configurés sur ce serveur.