Ergebnis 1 bis 1 von 1

Thema: XSS Protection Patch vom 30.11.2009

  1. #1
    Jedi-Ritter Avatar von webchills
    Registriert seit
    30.10.2004
    Ort
    Österreich
    Beiträge
    6.043
    Themen
    81
    DANKE
    3
    Erhaltene Danke: 949

    Ausrufezeichen XSS Protection Patch vom 30.11.2009

    Es wurde eine Sicherheitslücke in allen Zen-Cart Versionen bis inklusive 1.3.8 entdeckt, die es Angreifern ermöglichen könnte XSS oder CSRF Attacken durchzuführen.
    Generelle Infos zu XSS auf:
    http://en.wikipedia.org/wiki/Cross-site_scripting
    Generelle Infos zu CSRF auf:
    http://en.wikipedia.org/wiki/Csrf

    Auch wenn Sie Ihr admin-Verzeichnis umbenannt haben, sollten Sie folgende Änderungen in folgenden 3 Dateien durchführen, um Ihren Zen-Cart Shop abzusichern. Die angegebenen Zeilennummern beziehen sich auf Zen-Cart 1.3.8, für ältere Versionen können die Zeilennummern abweichen.

    1)
    IHRADMINVERZEICHNIS/index.php

    Fügen Sie in ca. Zeile 135 die rot gekennzeichneten Zeilen ein

    Code:
    while (!$customers->EOF) {
            $customers->fields['customers_firstname'] = zen_output_string_protected($customers->fields['customers_firstname']);
            $customers->fields['customers_lastname'] = zen_output_string_protected($customers->fields['customers_lastname']);
        echo '              <div class="row"><span class="left"><a href="' . zen_href_link(FILENAME_CUSTOMERS ....(weitere Code hier aus Platzgründen abgeschnitten)........
    2)
    IHRADMINVERZEICHNIS/customers.php

    Fügen Sie in ca. Zeile 1173 die rot gekennzeichnete Zeile ein:

    Code:
     default:
          if (isset($cInfo) && is_object($cInfo)) {
            if (isset($_GET['search'])) $_GET['search'] = zen_output_string_protected($_GET['search']);
            $customers_orders = $db->Execute("select o.orders_id, o.date_purchased, o.order_total, o.currency, o.currency_value,
    3)
    IHRADMINVERZEICHNIS/sqlpatch.php
    (Die Änderung in dieser Datei ist nur relevant für Zen-Cart Versionen ab 1.3.5)

    Fügen Sie in ca. Zeile 808 das rot gekennzeichnete (bool) ein:

    Code:
    <?php if (isset($_GET['nogrants'])) echo '<input type="hidden" id="nogrants" name="nogrants" value="'.(bool)$_GET['nogrants'].'" />'; ?>
    Geändert von webchills (08.12.2009 um 15:54 Uhr)
    !!! kostenloser Support ausschließlich im Forum - Nicht per Email, nicht per Telefon und nicht per PM !!!

Ähnliche Themen

  1. PHP 5.3 Patch für Zen-Cart 1.3.8
    Von webchills im Forum News und Ankündigungen
    Antworten: 0
    Letzter Beitrag: 10.11.2009, 09:30
  2. Zen Cart v1.3.5 XSS PATCH
    Von hemzet im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 1
    Letzter Beitrag: 05.10.2006, 11:05
  3. datenbank patch level 1.2.5 --> please read!
    Von moon im Forum Archivierte Beiträge Zen-Cart Support
    Antworten: 2
    Letzter Beitrag: 07.02.2006, 18:03

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
zen-cart-pro.at
Zen Cart ist eine kostenlose unter der GPL-Lizenz veröffentlichte Open-Source Shopsoftware. Das System wird in den USA entwickelt, die amerikanische Website dazu ist www.zen-cart.com

Die deutsche Zen-Cart Version, um die es hier auf zen-cart-pro.at geht, ist eine Anpassung der amerikanischen Version an die Bedürfnisse von Onlineshopbetreibern im deutschsprachigen Raum.

Die deutsche Zen Cart Version wird von einem Team von Entwicklern in Österreich und Deutschland betreut, weiterentwickelt und supportet und steht kostenlos in unserem Downloadbereich zur Verfügung.

[mehr]
Follow Us
  • zen-cart-pro-at auf Twitter
  • zen-cart-pro-at auf Github
  • zen-cart-pro-at auf SourceForge
Aktuelle Version
Zen Cart 1.5.5 deutsch
Revision 1184 vom 01.09.2016
[Download]