Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: SSEQ-LIB - modified eCommerce Shopsoftware Security Pack  (Gelesen 58986 mal)

Offline GTB

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 5.236
  • Geschlecht: Männlich
    • Teile Beitrag
Ich habe mich mal mit Herrn Kachel vor einiger Zeit ausgetauscht bezüglich Einbindung seiner SSEQ-Lib in die xt-modified.

Ich habe sie in der Version 0.5.0 versucht zu integrieren, doch leider hat es nicht funktioniert. Daraufhin hat Herr Kachel das in Angriff genommen und...

Seit gestern gibt es sie zum Download !!!

hier der Link dazu:
http://code.google.com/p/sseq-lib/updates/list

Für alle die noch mehr infos brauchen:

http://www.erich-kachel.de/?cat=3



Linkback: https://www.modified-shop.org/forum/index.php?topic=1244.0

Offline deepblue

  • Schreiberling
  • ****
  • Beiträge: 291
  • Geschlecht: Männlich
    • Teile Beitrag
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #1 am: 06. Juli 2009, 11:18:01 »
Was soll denn das für ein Security Pack sein?


Offline xampps

  • Mitglied
  • ***
  • Beiträge: 116
    • Teile Beitrag
    • http://www.psix-media.com
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #2 am: 06. Juli 2009, 11:23:01 »
Zitat
Was soll denn das für ein Security Pack sein?

siehe> http://www.modified-shop.org/forum/topic.php?id=701


Offline DokuMan

  • modified Team
  • *****
  • Beiträge: 6.647
  • Geschlecht: Männlich
    • Teile Beitrag
    • https://www.creopard.de
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #3 am: 06. Juli 2009, 19:37:24 »
Hat das schon jemand erfolgreich im Einsatz? (Ich hatte bis dato Probleme mit dem Warenkorb, was aber am Webhoster liegen könnte)


Online Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 43.504
  • Geschlecht: Männlich
    • Teile Beitrag
    • https://www.modified-shop.org
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #4 am: 07. Juli 2009, 08:05:41 »
Wann hattest du es denn eingebunden? Damals selber versucht oder jetzt mit dem angepasten Paket direkt für modified eCommerce Shopsoftware 1.01?


Offline DokuMan

  • modified Team
  • *****
  • Beiträge: 6.647
  • Geschlecht: Männlich
    • Teile Beitrag
    • https://www.creopard.de
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #5 am: 07. Juli 2009, 08:35:42 »
Das war noch damals vor 1.01. Bisher hatte ich noch keine Zeit zum Testen.


Offline erichth

  • SSEQ-LIB Contributor
  • Frisch an Board
  • **
  • Beiträge: 51
    • Teile Beitrag
    • http://www.erich-kachel.de
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #6 am: 07. Juli 2009, 14:11:42 »
Ich freue mich, dass das Security Pack hier diskutiert wird und gebe gerne einen Überblick über den Funktionsumfang.

Meine modified eCommerce Shopsoftware-Installation 1.01 läuft direkt nach dem Über-Kopieren des Packs ohne sichtbare Veränderung. Im xtc Code werden praktisch nur punktuell Funktionen aus der Sicherheitsbibliothek SSEQ-LIB aufgerufen.

Diese setzen z.B.
++ die relative Laufzeit des Cookie herunter,
++ begrenzen die absolute Lebenszeit der Session auf einige Stunden,
++ machen das Cookie durch das httpOnly-Tag nicht mehr für XSS-Angriffe sichtbar,
++ filtern nach einer frei definierbaren Liste bestimmte Variablen und prüfen diese auf Einhaltung eines definierten Typs und Länge,
++ konvertieren diese optional um XSS-Angriffe zu verhindern und
++ "escapen" sie optional zur Vermeidung von SQL-Injections,
++ bindet die Session an den Client des Nutzers,
++ erzeugt und prüft Tokens um Cross-Site-Request-Forgery zu unterbinden.

Jede Neuinstallation der SSEQ-LIB erzeugt einmalig einen eigenen "salt", der bei allen MD5-Hashes hinzugenommen wird. Blockiert der Filter Variableninhalte, werden abgelaufene Sessions oder Tokens verwendet oder ändert sich der Client des Nutzers wird es in eine Datei protokolliert zur späteren Auswertung. Zusätzlich können andere Aktionen ausgeführt werden wie: Verzögerung der Antwort, Umleitung auf spezielle Seite oder Löschen der Session (Logout).

Der Schutz gegen Cross-Site-Request-Forgery erfolgt durch die im Security Pack beiliegenden xtc-Dateien. Sie wurden so modifiziert, dass manche Formulare oder Links mit einem zusätzlichen Token versehen werden, der dann bei der Ausführung des Formulars geprüft wird. So wird sichergestellt, dass ein eingeloggter Nutzer beim Besuch einer fremden Seite nicht unwissentlich und unwillentlich z.B. Kommentare im Shop hinterlässt, Bestellungen ausführt oder unerwünschte Waren in Warenkorb gesetzt bekommt.

Grüße
Erich


Offline GTB

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 5.236
  • Geschlecht: Männlich
    • Teile Beitrag
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #7 am: 07. Juli 2009, 18:44:45 »
Hallo Erich,

schön hier im Forum von dir zu hören.

Grüsse
Gerhard


Offline koshiro

  • Fördermitglied
  • *****
  • Beiträge: 2.291
    • Teile Beitrag
    • Diskuszucht-Dzick
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #8 am: 07. Juli 2009, 20:19:00 »
Hallo,
ist es vorteilhaft dieses Pack ein zu binden, und muss man auf irgendwas achten ausser natürlich ein Backup vorher. Ich meine eher Einstellung im Shop oder ähnliches.
Gruß
Micha


Offline erichth

  • SSEQ-LIB Contributor
  • Frisch an Board
  • **
  • Beiträge: 51
    • Teile Beitrag
    • http://www.erich-kachel.de
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #9 am: 07. Juli 2009, 21:22:19 »
Die Version 0.1 wird zur Zeit noch von GTB getestet und er ist gleich auf eine Sache gestoßen, die ich gerade korrigiere.

Ansonsten sind die Einstellungen im Shop nicht von Bedeutung und die Installation bedeutet praktisch nur das Kopieren der Sicherheitsbibliothek SSEQ-LIB auf dem Server und das Einbinden in die "application_top.php". Soll der Schutz gegen CSRF auch rein, dann müssen die beiliegenden, modifizierten xtc-Dateien auch kopiert werden.


Offline koshiro

  • Fördermitglied
  • *****
  • Beiträge: 2.291
    • Teile Beitrag
    • Diskuszucht-Dzick
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #10 am: 07. Juli 2009, 21:33:47 »
Hallo erichth,
da ich mit den Fachbegriffen noch nicht so aus kenne, und noch ein wenig am lernen bin! Frage ich mal direkt. Vor was schützt mich das genau, oder besser meinen Shop, und was bedeutet CSRF ?
Gruß
Micha


Offline erichth

  • SSEQ-LIB Contributor
  • Frisch an Board
  • **
  • Beiträge: 51
    • Teile Beitrag
    • http://www.erich-kachel.de
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #11 am: 07. Juli 2009, 22:53:26 »
@Micha
Großräumiges Thema! Die einzelnen Angriffe wie ich sie weiter oben genannt habe, sind bei Wikipedia gut erklärt und von mir kannst du eine 63-Seitige Analyse vieler Angriffsarten haben (http://www.erich-kachel.de/wp-content/uploads/2008/08/sicherheitsschwachstellen_phpmysql_analyse_2408_01.pdf).

Aber ich reiße das hier trotzdem kurz mal an.

* Mit JavaScript-Code kann jemand z.B. die Cookiedaten klauen und sich damit einloggen, also alle Daten des beklauten einsehen.
** SSEQ-LIB verhindert das, weil Cookies gegen Auslesen aus JavaScript geschützt werden, die Session nur mit einem Browser gültig ist und alte Session und Cookies nach einigen Stunden unwiederbringlich ablaufen.
** Variableninhalte, die Schadcode führen könnten, werden so kodiert, dass dieser nicht mehr ausführbar ist.

* Mit SQL-Befehlen kann die Datenbank des Shops dazu gebracht werden, Internas preis zu geben z.B. Kundendaten.
** Variableninhalte, die SQL-Befehle führen könnten, werden so kodiert, dass sie nicht mehr in die Abfrage eingebaut werden.

* Durch absichtlicher Fehlbedienung können Servermeldungen provoziert werden, die Serverpfade preis geben.
** SSEQ-LIB versucht solche Meldungen zu unterbinden.

* Mit CSRF (Cross Site Request Forgery) wird der Nutzer ohne Absicht dazu gebracht, mit der eigenen Identität Aktionen im Shop auszulösen.
** SSEQ-LIB verhindert das mit Tokens, die allerdings aktiv im Code des Shops eingebaut werden müssen.


Offline koshiro

  • Fördermitglied
  • *****
  • Beiträge: 2.291
    • Teile Beitrag
    • Diskuszucht-Dzick
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #12 am: 07. Juli 2009, 23:00:14 »
Hallo erichth,
na dann so wie ich das verstehe wäre es ja sinnvoll wenn ich das in meinem Shop einbinde.
Muss ich auf irgendwas achten bevor ichdas einbaue, ausser auf ein Backup vorher. Zum Beispiel andere Module oder im Admin bereich ?
Gruß
Micha


Anonym

  • Gast
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #13 am: 07. Juli 2009, 23:10:36 »
Von meiner Seite ein ganz DICKES Lob und vielen Dank für das Bereitstellen und die Arbeit. Die Frage die mich gerade nicht schlafen lässt, ist die, ob wir ein zwischen Update anbieten sollen, auf Grund des Fixes oder seit Ihr dort noch am testen?


Offline GTB

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 5.236
  • Geschlecht: Männlich
    • Teile Beitrag
SSEQ-LIB - modified eCommerce Shopsoftware Security Pack
« Antwort #14 am: 08. Juli 2009, 06:12:57 »
hallo christian,

ich teste noch... wenn ich keine Fehler mehr finde, kann ich dir den Link zum Testshop schicken und dich selber überzeugen.

Dann könnte man ein Update bringen.



Teile per facebook Teile per linkedin Teile per twitter

 


             
anything