Vulnerabilidades en mi web que me impiden activar certificado SSL

[sylarlocke]

Buenas tardes,

 

Estoy teniendo serios problemas con la activación del certificado SSL, mi proveedor me comunica que no puede activar el certificado por que existen problemas de vulnerabilidad en la web.

 

Después de esta sorpresa me he puesto a actualizar todos los módulos que tengo instalados y nuevamente me comunican que sigue provocando error de vulnerabilidades.

 

Lo curioso es que hasta la fecha no hay ningún módulo de terceros, y solo se han modificado hojas de estilo, algún que otro parámetro o etiquetas html.

 

Pues bien me decido a indagar más sobre el asunto y me pongo manos a la obra con herramientas de detectión de malwares, inyección sql y otras vulnerabilidades.

 

Aún no ha terminado de realizar el análisis de las vulnerabilidades, cuando me encuentro en varias url, con amenzas potencialmente inseguras o peligrosas, en las que puedo apreciar: "Blockwishlist" y "Blocksearch", a parte de otros ficheros, en los que me indica en todos los encontrados "SQL INJECTION".

 

A lo que ahora pregunto, estos errores son normales en prestashop? no debería de dar ningún problema a la hora de activar el certificado SSL, si no se han modificado estos ficheros y se han actualizados todos los módulos,¿Por qué esta fallando?

 

Gracias, llevamos varios días intentando activar el certificado SSL y no podemos a causa de este problema.

 

 

Prestashop Version: 1.6.0.14

Plantilla: Just for kids

[sylarlocke]

Hola otra vez,

 

Me gustaría que alguien pudiese ayudarme, el problema parece serio y no creo que sea la primera persona que le pasa algo similar.

 

Llegado a este punto, no sé si realmente el problema es del proveedor del servicio de hosting, con el certificado ssl contratado que es muy estricto con las vulnerabilidades, o es fallo de la plantilla o del propio prestashop(que lo dudo).

 

Según me dicen ellos, el certificado lo instalan desde la raiz, pero hay varios dominios en el mismo sitio, con lo que entiendo que debería instalarse en la carpeta correspondiente.

 

Ahora bien después de pasar varias herramientas a la web, tanto con la plantilla comprada como por la que viene por defecto, aparecen errores de vulnerabilidad en el inicio de sesión y concretamente con todo lo relacionado con la dirección de "buscar", las url que aparecen como vulnerables todas contienen la opción "buscar", ¿esto es normal en la plantilla por defecto de prestashop "default-bootstrap"?.

 

Lo que no entiendo como puede ser que sin apenas cambiar nada de la estructura de prestashop, esten saliendo tantos problemas de seguridad para poder activar el dichoso certificado ssl.

 

Gracias.

[joseantgv]

Hola,

 

pero tienes instalada la plantilla "Just for kids" o la "default-bootstrap"?

[sylarlocke]

Buenos días,

 

Gacias por contestar, tengo instalada ambas plantillas, la que quiero tener activa es la de "Just for kids" pero a causa de este problema he tenido que cambiar de directorio dentro del back-end y cambiarle el directorio a "default-bootstrap" aunque de nada me ha servido, ya que el proveedor, me dice que al intentar activar el certificado ssl, analiza toda la carpeta public_html, con lo que sigue detectando la vulnerabilidad.

 

Lo que estoy haciendo ahora, es subir una copia de seguridad inicial con la plantilla instalada a ver si así me deja por lo menos activar el certificado.

 

Saludos

[joseantgv]

Buenos días,

 

Gacias por contestar, tengo instalada ambas plantillas, la que quiero tener activa es la de "Just for kids" pero a causa de este problema he tenido que cambiar de directorio dentro del back-end y cambiarle el directorio a "default-bootstrap" aunque de nada me ha servido, ya que el proveedor, me dice que al intentar activar el certificado ssl, analiza toda la carpeta public_html, con lo que sigue detectando la vulnerabilidad.

 

Lo que estoy haciendo ahora, es subir una copia de seguridad inicial con la plantilla instalada a ver si así me deja por lo menos activar el certificado.

 

Saludos

 

Yo creo que el problema puede estar en tu plantilla. La plantilla por defecto tiene todas las variables escapadas para evitar ataques SQL Injection.

[sylarlocke]

Gracias joseantgv,

 

Yo pienso que también puede estar el problema en la plantilla, pero tengo que ir haciendo pruebas hasta dar con el fallo, inicialmente lo estoy dejando por defecto para ir descartando problemas.

 

Respecto a que la plantilla tiene la seguridad contra inyección sql, estoy empezando a que creer que si, pero he estado analizando con varias herramientas que analizan la seguridad web y curiosamente analizando la plantilla por defecto "default_bootstrap" sin nada instalado, han aparecido como "High" a la hora de detectar amenazas de seguridad como "Injection SQL" y como pude apreciar en la direcciones que tienen buscar y el carrito, curioso, ¿verdad?

[joseantgv]

Puedes postear alguna web con las que realizas las pruebas?

[sylarlocke]

Pues fijate lo que me está pasando, acabo de borrar todo el contenido de public_html y subido prestashop recien bajado de la página oficial, lo he instalado y le he comentado a mi proveedor que intente activar nuevamente el certificado y me comentan que sigue apareciendo que hay archivos maliciosos. Asi que esto ya se está iendo de mis manos.

 

Te pongo a continuación dos análisis que he realizado:

 

1º La he realizado a mi página web, con el contenido único de la última versión de prestashop recién bajado, como he comentado la plantilla "default_bootstrap" y sin llegar apenas a la mitad del proceso mira lo que me muestra:

 

 

2ºLa he realizado a la página web oficial "Live demo" de la plantilla "Just for kids" que he comprado(no sé si se puede decir nombres de web) y estos son los resultados:

 

 

Como puedes apreciar en ambas me aparecen errores de Inyección de SQL, Cleartext Password over HTTP, como "High", y otros pocos como "Medium", pero aún así no dejan de ser errores de vulnerabilidad.

[joseantgv]

Con que aplicación haces ese escaneo?

[sylarlocke]

La aplicación se llama:

 

"Vega, the Open Source Web Application Security Platform."

[joseantgv]

La aplicación se llama:

 

"Vega, the Open Source Web Application Security Platform."

 

Hola,

 

le he pasado el mismo análisis y también me han aparecido esas vulnerabilidades. Creo que son falsos positivos, todas las urls son "escapadas". Has probado a que te instalen el certificado con la plantilla default? Quizás con su herramienta no aparecen estos avisos.

[sylarlocke]

Lo curioso es que le pasé también otra herramienta y también aparecía amenazas de Inyección Sql, es un tanto sospechoso, pues fijate a que punto hemos llegado, hemos instalado prestashop en el servidor desde 0, sin nada solo bajar de la página oficial e instalar en public_html y según mi proveedor, sigue apareciendo que hay ficheros maliciosos, a lo que llegan a punto de que van a contratar un servicio premium de ingenieros para analizar la causa, y que ellos le dirán donde está el error con los consecuentes gastos. A ver si se convencen que el problema lo deben de tener ellos, por que si ahora resulta que está en prestashop, apaga y vamos...

[sylarlocke]

Buenos días, os cuento lo que ha ocurrido, no doy crédito con lo que está pasando.

 

Llegado al punto que me encontraba, hablé con mi proveedor y me dijo que ya la única solución era contratar un "Servicio Premium" para analizar exaustivamente de donde viene el error o más concretamente el fichero "malicioso", según decian ellos, causante de poder activar el certificado SSL, si el problema era de ellos, se encargaban de pagarlo y si era nuestro, nos encargaríamos nosotros.

 

Pues bien, hacen el exaustivo análisis y después de dos días nos dicen que han encontrado el fichero, que se encuentra en la raíz y es una carpeta "cgi-bin" y que dentro de esta carpeta hay un fichero malicioso, ni dicen el nombre ni el contenido ni nada, lo borran y dicen que está resulto, y que nosotros tenemos que pagar los gastos.

 

Pues les contesto y les digo que esa carpeta lleva creada desde que se inició la cuenta y ha estado ahí, he realizado copias de seguridad hasta la última instancia, tanto antes de que apareciese el primer error que impidiese la activación, hasta el último, ya que han sido varias. Pues bien, yo tengo dichas copias de seguridad íntegras y he comprobado cada una de ellas y ese fichero aparece sin editar desde la activación de la cuenta y sin ningún fichero interno, por lo visto es una carpeta que genera "Cpanel" cuando se crea un dominio, está carpeta se borro, cuando eliminé todo el contenido de "public_html" se subió una instalación limpia de prestashop y por lo visto la carpeta no se eliminó.

 

Para más inri, me dicen a última hora, que han realizado un análisis exhaustivo y que han encontrado el fichero causante del error, y dicen que es el fichero:

 

"/public_html/webservice/dispatcher.php"

 

Y que el error se encuentra en la líneas 106 a 115, que se han cambiado los permisos y se ha puesto "solo lectura".

 

Tras la respuesta me pongo a mirar todas las copias de seguridad y veo que el contenido es este:

if (isset($result['type']))
{
// header($result['content_sha1']);
if (!isset($_SERVER['HTTP_LOCAL_CONTENT_SHA1']) || $_SERVER['HTTP_LOCAL_CONTENT_SHA1'] != $result['content_sha1'])
{
echo $result['content'];
}

}
ob_end_flush();

Compruebo con el fichero original de la instalación limpia de Prestashop y veo que el contenido es exactamente igual.

 

Después de tanto tiempo que hemos perdido con la dichosa activación, la de pruebas y acciones que hemos tenido que realizar, para que nos digan esto, totalmente vergonzoso.

 

Perdonad por el tocho, pero me parece injusto que nos esten obligando a pagar unos gastos cuando el problema lo han tenido ellos.

 

Saludos

Edited June 18, 2015 by sylarlocke (see edit history)