faille de sécurité ?

[batman]

prestashop_1.2.1.0 fraichement installé

j'ai eu un comportement bizarre de prestashop il y a quelques instants : ma page d'accueil est revenu telle que lors de l'installation (celle ou il y les iphone, etc lors de l'install)

je regarde mes log serveur et je vois des trucs de ce genre dans le créneau horaire :
cart.php?delete&id_product=15&ipa=0&token=3fbdeae661fae384b359f28ddb9fb155
/js/jquery/&&h;.8p(0)== (erreur 404 plus des variantes après jquery)
/modules/blockcart/.ajax_block_cart_total (erreur 404)

j'ai inspecté le répertoire js : rien d'étrange constaté


j'ai bien fait ce qu'il fallait pour install/ et admin/

j'avoue être un peu inquiet pour le coups

de plus j'arrive plus a créer de produits (après validation, j'ai le menu admin, mais le reste de la page est vide)
plus possible de remettre l'image que j'avais choisi pour Editeur de page d'accueil ! (les droits semblent bons) (y'a possibilité de rendre prestashop plus verbeux (erreurs, warnings ?)

[liandri]

Bonjour,

Quels sont tes logs httpd exactement ?

[LIKEAROBOT]

Bonjour et en quoi c'est une faille de sécurité ?

[Damien Metzger]

cart.php?delete c'est quelqu'un qui supprime un produit de son panier, ça n'a rien d'alarmant ^^

[batman]

cart.php?delete c'est quelqu'un qui supprime un produit de son panier, ça n'a rien d'alarmant ^^

sauf que la boutique n'existe pas encore, je suis en test j'ai créé 6 produits "azerty00x" !

cela ne me dérange pas que moi je supprime des produits de mon panier, mais la ça ne correspond à rien, surtout l'ip qui n'est pas locale, personne ne connait le domaine ou sera la boutique encore !

Bonjour et en quoi c'est une faille de sécurité ?

bah vu que l'image d'accueil à été changé, que je ne peux plus la modifier depuis l'interface admin depuis cette période je pense qu'il est légitime d'y penser !

Bonjour,

Quels sont tes logs httpd exactement ?

j'avais mis en extrait dans mon premier post, je met ceux qu'il me reste depuis access.log (le reste est déjà zippé), pour info, jai pas fait de panier paypal cette semaine, j'ajoute les derniers log depuis mon 1er message :

66.77.136.153 - - [15/Aug/2009:12:33:11 +0200] "GET /[zone admin]/index.php?tab=AdminModules&configure=paypal&token=404e1a41a494af106fc66d7a8c983d4d HTTP/1.0" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
66.77.136.153 - - [15/Aug/2009:12:33:11 +0200] "GET /[zone_admin]/login.php?redirect=index.php?tab=AdminModules&configure=paypal&token=404e1a41a494af106fc66d7a8c983d4d HTTP/1.0" 206 1583 "-" "Mozilla/5.0 (compatible; Konqueror/2.2.2)"
216.113.191.33 - - [15/Aug/2009:12:43:47 +0200] "POST /modules/paypal/validation.php HTTP/1.0" 200 - "-" "-"

208.99.208.33 - - [18/Aug/2009:02:02:54 +0200] "GET /js/jquery/iutil.prestashop-modifications.js HTTP/1.0" 200 3990 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"

[batman]

bon, ce matin, j'ai essayé depuis un autre pc et les images étaient déjà correctement maj, donc le problème principale était le cache,

en retournant sur mon pc de travail, après avoir vidé le cache navigateur et supprimé les cookies locaux je suis resté avec les mauvaises images ....

j'ai redémarrais apache (~>10 virtualhosts dessus .... ), l'hôte virtuel pour prestashop n'est pas repartit, 2ième restart apache, l'hôte virtuel prestashop est repartit.

refresh de ma page d'accueil prestashop sur mon pc de travail : miracle tout est bon ....

Je comprends pas trop la relation avec les attaques jquery et ce problème d'hôtes virtuel (je ne parle pas de virtualisation de pc ! mais bien d'hôtes virtuels apache ) mais je vais rester prudents en regardant plus souvent les logs de prestashop, et j'invite tous ceux qui sont concerné par la sécurisation de leur serveur à en faire autant (ça me rappel une faille joomla qui permettait de mettre à vide toutes les bases auquel avais accès le user mysql associé : merci à ma parano d'utiliser 1 user mysql par application/site web que j'install !)

Edit : je trouve pas le moyen de clore le sujet en marquant [clos]etait tentative exploitation faille jquery