Audit de sécurité de Prestashop 1.6

[arnaudDeveloppeur]

Bonjour,

Ayant un exposé à faire sur la sécurité de Prestashop, sauriez-vous la liste des failles de sécurité qu'il y a dans Prestashop 1.6 ainsi que les actions à  faire pour s'en protéger(j'ai déjà trouvé une faille smarty),

 

En vous remerciant par avance,

Bien cordialement,

[Mediacom87]

Bonjour,

 

si vous trouvez des failles, ce qui peut arriver, vous devez prévenir Prestashop par le biais de la forge, sans trop préciser les conditions de cette faille mais que vous pourrez leur expliqué plus directement, ou proposer un correctif directement sur github.

 

C’est un projet open source et communautaire donc c'est à cette communauté et aux développeur de Prestashop de remonter et corriger ces quelques failles.

 

Mais elle restent assez rare, Prestashop semble assez bien sécurisé.

[Eolia]

Lol

 

Déjà s'il y avait des failles de sécurité dans Prestashop, on vous le dirait pas sur un forum public, rien de mieux pour mettre tout le monde dans les ennuis

Faille smarty, oh mon Dieu ! Il ne faut pas tout mélanger^^

 

Prestashop a pas mal de bugs mais question sécurité aucun problème majeur ne lui a jamais fait du tort.

Les boutiques/comptes piratés l'ont souvent été à cause d'un WP pas mis à jour sur un même ftp ou d'un virus sur la machine du proprio.

 

Le seul reproche qu'on pourrait lui faire, c'est l'envoi des mots de passe clients en clair par mail. Pour le reste, y a pas.

[arnaudDeveloppeur]

Bonjour,

Merci pour vos réponses,

En effet, pour smarty ce n'est pas exactement une faille mais plus un problème de configuration,

Connaissez-vous d'autres problèmes que l'on pourrait rencontrer à cause d'une mauvaise configuration?

 

PS : pour le mot de passe envoyé en clair, serait-ce lors de la connexion des clients?

 

En vous remerciant par avance

[Eolia]

Le mot de passe client, c'est lors de la création de compte.

 

Concernant la configuration, ben... c'est suivant le niveau des utilisateurs. Quand je vois le nombre de répertoires BO qui s'appellent admin123...

[Mediacom87]

Excusez moi mais qui doit faire l'audit, vous ou nous ?

 

Si c'est nous alors non il n'y a pas de faille car si nous en connaissions nous les aurions soit communiqués à Prestashop soit corrigé nous même.

 

Donc passez votre chemin, Prestashop n'a aucun soucis de sécurité et sinon ils sont rapidement corrigés grâce à la communauté.

 

Lorsque vous parlez de sécurité smarty mise en cause par un défaut de configuration, faites vous simplement état de la configuration de mode debug de smarty afin d'afficher les variables et données disponibles ?

Si c’est cela, alors vous arrivez bien tard car cela est pris en considération depuis pas mal de temps et donc la configuration initiale de Prestashop sur ses dernière version fait que seul l’administrateur peut activer à dessein cette option.

 

Mais sinon je rappel que vous pouvez vous référer à la Forge http://forge.prestashop.com/

[2FR3]

http://www.backtrack-linux.org/

 

http://www.backtrack-fr.net/

 

https://www.kali.org/ 

 

Na... c'est pas du spam =)

Edited June 20, 2015 by 2FR3 (see edit history)

[Atch]

Il y a un accès back office (sans mot de passe et direct) quand tu es sur la page produit avec l'id 42.

Il suffit de faire le code Konami quand on est sur cette page et hop...

Un ancien dev à laissé cela parce qu'il ne se souvenait jamais de son accès Back office , seulement toujours présent sur la 1.6 !!!

 

V++

 

Atch

[Eolia]

Atch... On n'avait dit qu'on ne donnerait pas les eggs...

[arnaudDeveloppeur]

Bonjour,

Merci de vos réponse,

Mais qu'est-ce que le code Konami?

[Mediacom87]

Bonjour,

Merci de vos réponse,

Mais qu'est-ce que le code Konami?

https://fr.wikipedia.org/wiki/Code_Konami

[coeos.pro]

tu peux même le tester avec le produit 42 sur addons : http://addons.prestashop.com/fr/modules-comparateurs-de-prix/42-leguidecom.html
 
Par contre j'arrive pas à mettre la main sur la section 1million4devs, elle n'est peut être pas gérée sur addons... je ne serai pas millionnaire cette année 

[J. Danse]

Mais si, elle est en dessous "Fonds d'intégration": http://addons.prestashop.com/fr/integration-fund ;-)

[arnaudDeveloppeur]

Super!!

merci à tous^^

[arnaudDeveloppeur]

Rebonjour,

le code Konami n'a pas l'air de fonctionner sur addons...

Y arrivez-vous?

[arnaudDeveloppeur]

J'ai fait haut haut bas bas gauche droite gauche droite b a sur le produit 42 mais rien ne se passe...

[mmomobis]

J'ai fait haut haut bas bas gauche droite gauche droite b a sur le produit 42 mais rien ne se passe...

Non mais il te font marcher là !! Les mecs pas cool de votre part !! si tu avais fait un minimum de recherche tu te serais vite rendu compte que le code Konami sous entend "inversion de chiffres" !! donc là on te dit ID42 doit donc devenir ID24 tout simplement !! Je comprends aussi la volonté des gens au dessus de te faire chercher un peu mais bon, faut le savoir, voilà j'espère avoir contribué un peu à ton audit. Et si on pouvait épinglé ce post afin que personne ne cherchent inutilment, ras le bol d'expliquer le code Konami !!

 

Au passage tu fais cette étude pour quelle entité ? une école laquelle ? tu es en quelle année ?

 

@++

Edited July 5, 2015 by mmomobis (see edit history)