Еще раз о безопасности административного интерфейса Interspire Shopping Cart

shopmaster 01 Июль, 2010 13:25 Interspire Shopping Cart, aka ISC Постоянная ссылка Трекбэки (0)

isc_5.5.4_russian_CD_cover__71956_zoom.jpg

Еще раз о безопасности административного интерфейса Interspire Shopping Cart

Статья о блокировке несанкционированного доступа в административный раздел Интернет-магазина была уже написана и опубликована в Блоге Шопмастера http://shopmaster.blogmasters.ru (см. статью "Наглухо закрываем доступ к админке в Interspire Shopping Cart"), когда в процессе обуждения вопросов безопасности Интернет-магазинов с практикующими серыми и черными хакерами была выработана еще одна концепция взлома административного доступа в Интернет-магазин, работающий на базе Interspire Shopping Cart.

Такое проникновение становится возможным из-за излишней интеллигентности и вежливости системы.

 

Заключается оно во взломе почтового ящика администратора Интернет-магазина, и проникновении в магазин, воспользовавшись паролем доступа, отправленным системой на авторизованный почтовый ящик администратора.

Для этого во-первых, необходимо узнать, на какой адрес электронной почты отправляются уведомления администратору Интернет-магазина, и во-вторых, взломать этот ящик, и узнать новый пароль.

Для того, чтобы узнать, на какой адрес электронной почты администратор Интернет-магазина получает уведомления, на входе в административную панель Interspire Shopping Cart, вместо ввода логина и пароля, жмем на линк "Забыли пароль?"

Система отвечает на это генерацией нового пароля, линка на подтверждение нового пароля, и отправкой линка на адрес электронной почты администратора.

При этом в панели входа в административный раздел магазина выдается сообщение о проделанных действиях, и о том, что письмо отправлено на адрес электронной почты, например vasya@pumpkin.ru.

После этого злоумышленнику остается перейти на почтовый сервер, указанный в адресе после "собаки", и приступить ко взлому почтового ящика, чтобы воспользоваться отправленной туда информацией.

При этом взлом почтового ящика можно заказать в Интернете за 5 долларов, либо ломать его самому. Взлом почтового ящика на популярных сервисах типа "мэил.ру", как известно, не составляет труда. На эту тему существуют даже видеоуроки с подробными инструкциями.

Для устранения описанной уязвимости достаточно просто отменить вывод адреса электронной почты в уведомлении на входе в административную панель. Для этого откройте в текстовом редакторе файл с языковыми перменными 

/language/ru/admin/common.ini

и найдите строку с переменной

ConfirmPassEmailSent

(она приведена в файле без кавычек, и находится в разделе [Forgot Password]. Я не привожу здесь номер строки, поскольку в моем варианте локализации он может отличаться от вашего).

В этой строке, в тексте, который выводится в сообщении, удалите переменную "%s".

То есть текст, к примеру, звучащий как "Пожалуйста, проверьте входящие сообщения в своем почтовом ящике %s.", замените на "Пожалуйста, проверьте входящие сообщения в своем почтовом ящике.". (Предполагается, что администратор магазина и так прекрасно знает, на какой адрес электронной почты ему будет отправлено уведомление.) У вас этот текст будет, вероятно, другим: здесь для примера использована русская локализация Интернет-магазина Interspire Shopping Cart v5.5.4 от Шопмастера.

К слову сказать, в доступной по этой ссылке Русской локализации Интернет-магазина Inetrspire Shopping Cart v5.5.4 от Шопмастера версии 1.2 данное исправление уже внесено.

Очевидно, что разработчики старались сделать свой магазин наиболее удобным и дружественным к пользователям, потому и возникли такие непредвиденные нюансы, влияющие на общую безопасность системы.

Кстати, если вы пытаетесь войти в административный раздел вашего магазина, работающего на Interspire Shopping Cart, и вместо входа получаете сообщение о неверно введенном пароле, то это, скорее всего, свидетельствует, что какой-то злоумышленник проник в ваш магазин указанным здесь способом. 

В заключение стоит упомянуть, что выполнение мероприятий по усилению безопасности Интернет-магазина, описанных в статье "Наглухо закрываем доступ к админке в Interspire Shopping Cart", закрывает и эту уязвимость.

Настоятельно рекомендую всем шопмастерам выполнить рекомендации, приведенные в обеих статьях.

Как всегда, вопросы, советы и комментарии оставляйте в Блоге Шопмастера http://shopmaster.blogmasters.ru, или присылайте на адрес электронной почты shopmaster@list.ru

Желаю всем высокого уровня продаж.
Шопмастер


Закладки:These icons link to social bookmarking sites where readers can share and discover new web pages.
    blinkbits BlinkList blogmarks co.mments connotea del.icio.us De.lirio.us digg Fark feedmelinks Furl LinkaGoGo Ma.gnolia NewsVine Netvouz RawSugar Reddit scuttle Shadows Simpy Smarking Spurl TailRank Wists YahooMyWeb ecto NewsGator

Комментарии


Добавить комментарий

Добавить комментарий
 authimage


Powered by BlogMasters.Ru