Press "Enter" to skip to content

PrestaShop 1.6.x – fikcyjne konta klientów, zakładanie fałszywych kont użytkowników, wpisy www.cutt.us, www.twixar.com

Admin 5

PrestaShop 1.6.x – fikcyjne konta klientów – przyczyna ataku.

Problem jest stosunkowo nowy i pojawił się dosłownie w przeciągu paru ostatnich dni od publikacji tego artykułu. Objawia się zakładaniem przez nieznanego sprawcę fikcyjnych kont klientów, gdzie w sekcji “nazwisko” podany jest złośliwy link do spamerskiej strony:

Zazwyczaj bazujący na usługach do skracania linków:

Atakujący wykorzystał tutaj słabość PrestaShop, jeśli chodzi o tzw. walidację (sprawdzanie poprawności) nazwiska klienta. W ten sposób – w miejscu nazwiska wklejony jest link, zapewne w celu późniejszego przekierowania. Konta takie są zakładane co około 1h i nadają się jedynie do usunięcia.

Poniżej prezentujemy “łatę” do oprogramowania, która zabezpiecza przed tym atakiem.

Oczywiście należy rozważyć dodatkowo instalację tzw. mechanizmu captcha, który by uniemożliwiał automatyczne tworzenie kont. Np. wymagałby przepisania kodu z obrazka itp. Tak czy inaczej, zaprezentowana tutaj metoda rozwiązania tego konkretnego ataku powinna pomóc.

Fałszywe konta klientów w PrestaShop – rozwiązanie problemu i instalacja łaty.

Otwórz plik:

Znajdź funkcję isName() może mieć postać typu:

Umieść pod nią nową funkcję:

Następnie otwórz plik:

Znajdź początek wystąpienia tablicy definition:

(okolice 157 linii)

Następnie zamień te 2 linijki:

Na:

Czyli zmieniamy funkcję walidującą z isName na nowo stworzoną: isCustomerName

Po zabezpieczeniu sklepu możemy śmiało usunąć konta klientów założone przez atakującego.

Przy usuwaniu najlepiej jest skorzystać z opcji:

Wtedy – dane są kompletnie kasowane z bazy danych. I nie możliwe jest ewentualne przywrócenie hasła na takim fake’owym koncie:

Wybranie opcji kompletnego kasowania danych fałszywego konta

Problem nie powinien powrócić przynajmniej jeśli chodzi o ten konkretny atak.

Uwaga! Po “bożemu” należałoby umieścić ten kod w plikach overrides. Niestety (jeszcze) nie mamy sprawdzonego i przetestowanego rozwiązania, które działa w ten sposób. W związku z tym, że edycja dotyczy tutaj plików jądra PrestaShop – po aktualizacji systemu – te zmiany mogą zniknąć. Należy wtedy upewnić się, czy można założyć konto klienta z linkiem w nazwisku lub imieniu. Zapewne twórcy PrestaShop pracują już nad łatą i pojawi się ono wraz z najbliższą aktualizacją. Jeśli nie – ww. modyfikacje należy przenieść w nowszej wersji, aby problem nie powrócił.

grafika: all-free-download.com

  1. Dzięki, miałem akurat taki sam problem w sklepie klienta i Twoje rozwiązanie pomogło!

  2. Dziękuję za pomoc. Super, że podzieliłeś się tym rozwiązaniem.

  3. Sebastian P Sebastian P

    Dzień dobry – czy to rozwiązanie zadziała także dla PrestaShop 1.5.xxx

    • Admin Admin

      Niestety @Sebastian na tę chwilę nie obsługujemy żadnego sklepu pod PS 1.5.x i nie możemy tego sprawdzić / nie było to tam przez nas wykonywane. Czyli ten atak też tam ma miejsce? Ciekawe..

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Zobacz także !
Jak naprawić w PrestaShop 1.7.x problem z zalogowaniem i błąd:…