19man Posted October 4, 2013 Share Posted October 4, 2013 Bonjour à tous, sur notre serveur contenant diverses versions de prestashop (mais également d'autres CMS), des petits malins se sont introduits et s'amusent à éditer les fichiers .php et les htaccess pour faire des redirections vers des sites de viagra, de pari (à coup de eval(base64))... Quand ce n'est pas pour bousiller purement et simplement les sites histoire de s'amuser. Bref, on est littéralement matraqués par des hackers. Après avoir parcouru les changelog il est difficile de trouver des détails sur les failles de sécurité corrigées dans les diverses versions de prestashop. D'où cette question : Avez-vous souvenir de versions de presta (depuis la 1.2) vulnérables à certaines attaques ? Si vous avez un lien vers un post qui en traite, une expérience personnelle... Merci d'avance. Link to comment Share on other sites More sharing options...
Bondaty and Co Posted October 4, 2013 Share Posted October 4, 2013 (edited) Bonjour, j'ai eu ce type de problème sur un VPS, l'attaque venait toujours du même site ( un joomla ) et s'étendait dans les autres. J'ai réglé le problème en créant un compte cpanel par site avec des mots de passe à rallonge au niveau ftp, bases de donnée etc,.... Depuis plus de problèmes et si problèmes il sera isolé. Pour ma part, je n'ai jamais eu de problème de sécurité depuis la 1.2.5 Edited October 4, 2013 by Muche (see edit history) Link to comment Share on other sites More sharing options...
Olivier CLEMENCE Posted October 4, 2013 Share Posted October 4, 2013 http://webcoder.biz/research/vulnerabilities/Prestashop-1-4-x-XSS/ en → fr XSS Link to comment Share on other sites More sharing options...
Prestadget Posted October 6, 2013 Share Posted October 6, 2013 Jamais prestashop ne pourra garantir 100% d'une boutique, puisque l'utilisateur est libre d'ajouter les modules qu'il veut. Les failles viendront de la (comme le cas avec Wordpress et certains plugins). Prestashop s'améliore de jour en jour, même si il reste encore beaucoup de codes à revoir : - Utilisation de == pour tester des tokens MD5 ! (et oui en PHP 5 == "5clel", il faut donc utiliser ===) - Encore l'utilisation de eval pour créer des class à la volé (ça c'est juste horrible !! Performance nulle, pas de opcache, pas d'auto complétion dans l'IDE etc...) - Un truc aussi, tout le code PHP de Prestashop (et les tpl aussi) est accessible depuis le web, normalement un seul fichier (appelé bootstrap) devrait être accessible Sinon il n'y a aucune faille XSS connue etc.. c'est quand même du bon travail, même si il faut attendre 2/3 versions pour que la stabilité, bravo à l'équipe ! Donc pour la sécurité, vérifie plutôt les modules installés, surtout les modules gratuits venant de site autre que la plateforme prestashop, vérifie aussi ta configuration server (ports accessibles) conf Apache ou Nginx etc... Link to comment Share on other sites More sharing options...
19man Posted October 7, 2013 Author Share Posted October 7, 2013 @Muche et @Prestadget Dans notre cas, si un joomla (ou phpbb pour citer les plus attaqués) a pu servir de porte d'entrée, ils ont été depuis supprimés. les BDD / accès FTP ne sont pas utilisés, ils font ça uniquement via le web. Et on constate toujours des hacks de fichiers (php, htaccess) faits avec les droits apache et des dates farfelues. Le mod_security ne suffit pas, on cherche donc à éliminer les CMS les plus vulnérables. Mais je suis d'accord avec vous, Prestashop n'est pas le plus vulnérable, on a encore des drupal6 ou d'anciens cms "maison" qui sont potentiellement dangereux. @ManiT4c merci pour le lien. Link to comment Share on other sites More sharing options...
.png.022b5452a8f28f552bc9430097a16da2.png)
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now