Ankündigung

Einklappen
Keine Ankündigung bisher.

XSS Protection Patch vom 30.11.2009

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    XSS Protection Patch vom 30.11.2009

    Es wurde eine Sicherheitslücke in allen Zen-Cart Versionen bis inklusive 1.3.8 entdeckt, die es Angreifern ermöglichen könnte XSS oder CSRF Attacken durchzuführen.
    Generelle Infos zu XSS auf:
    http://en.wikipedia.org/wiki/Cross-site_scripting
    Generelle Infos zu CSRF auf:
    http://en.wikipedia.org/wiki/Csrf

    Auch wenn Sie Ihr admin-Verzeichnis umbenannt haben, sollten Sie folgende Änderungen in folgenden 3 Dateien durchführen, um Ihren Zen-Cart Shop abzusichern. Die angegebenen Zeilennummern beziehen sich auf Zen-Cart 1.3.8, für ältere Versionen können die Zeilennummern abweichen.

    1)
    IHRADMINVERZEICHNIS/index.php

    Fügen Sie in ca. Zeile 135 die rot gekennzeichneten Zeilen ein

    Code:
    while (!$customers->EOF) {
            [COLOR=Red]$customers->fields['customers_firstname'] = zen_output_string_protected($customers->fields['customers_firstname']);
            $customers->fields['customers_lastname'] = zen_output_string_protected($customers->fields['customers_lastname']);[/COLOR]
        echo '              <div class="row"><span class="left"><a href="' . zen_href_link(FILENAME_CUSTOMERS ....(weitere Code hier aus Platzgründen abgeschnitten)........
    2)
    IHRADMINVERZEICHNIS/customers.php

    Fügen Sie in ca. Zeile 1173 die rot gekennzeichnete Zeile ein:

    Code:
     default:
          if (isset($cInfo) && is_object($cInfo)) {
            [COLOR=Red]if (isset($_GET['search'])) $_GET['search'] = zen_output_string_protected($_GET['search']);[/COLOR]
            $customers_orders = $db->Execute("select o.orders_id, o.date_purchased, o.order_total, o.currency, o.currency_value,
    3)
    IHRADMINVERZEICHNIS/sqlpatch.php
    (Die Änderung in dieser Datei ist nur relevant für Zen-Cart Versionen ab 1.3.5)

    Fügen Sie in ca. Zeile 808 das rot gekennzeichnete (bool) ein:

    Code:
    <?php if (isset($_GET['nogrants'])) echo '<input type="hidden" id="nogrants" name="nogrants" value="'.[COLOR=Red](bool)[/COLOR]$_GET['nogrants'].'" />'; ?>
    Zuletzt geändert von webchills; 08.12.2009, 16:54.
Info zu diesem Forenarchiv:
Mit Release von 1.5.7 wurde die deutsche Zen Cart Version auf eine reine DIY-Lösung umgestellt.
Für einen Support via Forum stehen keine personellen und zeitlichen Ressourcen mehr zur Verfügung.
Dieses Supportforum bleibt im Nur-Lesen-Modus als Wissensarchiv noch online verfügbar.
PM Funktionalität, Registrierung und Posten neuer Beiträge sind deaktiviert.
Zugriff auf Anhänge in den Postings ist auch ohne Registrierung/Einloggen möglich.
FAQ und Downloadbereich des Forums wurden in die neue umfangreiche Knowledgebase auf der zen-cart-pro.at Website übernommen.

Das Development der deutschen Zen Cart Version geht wie bisher auf Github weiter.
Wir werden auch weiterhin neue Versionen bereitstellen und die Onlinedokumentation/Knowledgebase aktualisieren.
Fehler in der Software können auf Github als Issues gemeldet werden.
Follow us
aktuelle version
Zen Cart 1.5.7 deutsch
vom 20.05.2022
[Download]
Lädt...
X