Dienstag, 27. Mai 2008 Druck-Ansicht

Inwieweit das eine ernste Sicherheitslücke ist, kann ich nicht beurteilen - Man kann jedoch mit bestimmten Eingaben den “Inputfilter” zum “Aufgeben” bringen. Betroffen sind sämtliche Eingabefelder in xt:Commerce-Shops, also Suche, Kontaktformular, LogIn-Formular, Bewertungen …

Mehr dazu ist u.a. » hier zu lesen.
In einem Standard-Shop 3.04 SP2.1 sehen die Fehlermeldungen in etwa so aus:

Fatal error: Allowed memory size of 25165824 bytes exhausted (tried to allocate 8388610 bytes) in /home/www/lalala/html/dings/includes/classes/class.inputfilter.php on line 119

Problematisch sind zum Beispiel Eingaben à la <>> oder <>tralala> und <> > -
Während Folgendes kein Problem ist < >> oder <lalala>>

Lösungsvorschlag:

Man könnte jetzt einen regulären Ausdruck zurechtzufummeln:
“Nach einem <> darf kein > auftauchen, dem kein weiteres < vorangeht.”

Das kann man auch lassen, denn im Grunde heißt das ebenso
“Es darf halt keine <> geben” - Was ein wenig einfacher zu handhaben ist.

Man nehme also die Datei “includes/classes/class.inputfilter.php” und füge in Zeile 109 Folgendes ein: $source = str_replace('<>','',$source);

Vermutlich ist es aber besser, alle Eingabefelder grundsätzlich gleich sehr viel strenger zu filtern, beispielsweise mit strip_tags - Denn man braucht ja nicht unbedingt HTML im Kontaktformular. In den Bewertungen sind HTML-Tags bereits “verboten”, und in “Suche”, “Schnellkauf” etc. ohnehin überflüssig. Bloß wären dabei ein paar mehr System-Dateien zu bearbeiten …

Bitte betrachten Sie den Code als vorläufige Lösung, weitere Hinweise und Verbesserungsvorschläge sind willkommen.

An dieser Stelle übrigens vielen Dank an Daniel Siekiera von Webdesign Erfurt, der mich auf diesen Fehler hingewiesen hat.

Bookmarks, Feed und Links

Kommentar-Feed: RSS 2.0
Trackback URL für diesen Beitrag

Wenn Ihnen dieser Beitrag geholfen hat ...

Beiträge zu ähnlichen Themen:

xt:Commerce - mit doppelten E-Mail-Adressen Kunden aussperren
Beim Einrichten eines Kundenkontos überprüft xt:Commerce, ob die angegebene E-Mail Adresse bereits vorliegt. Denn diese ist gewissermaßen der “eindeutige Identifikator” […]
“Mass Edit Pages” für Wordpress 1.52
Wer Wordpress 1.52 nutzt, muss auf den Komfort des “Mass Edit Pages”-PlugIns nicht verzichten. Zwar läuft es von Haus aus […]
Fehler beim Downgrade: Wordpress 2.0 auf 1.5.2
Downgrade ist fehlgeschlagenAuf Grund massiver Performance-Probleme hatte ich mich entschlossen, wieder Wordpress 1.5.2 einzusetzen. Da diese Version mit der von […]
Wordpress 2.1 - Upgrade für mich in Sicht
Wordpress 2.1 ist da - bislang nur in Englischer Sprache (Eine deutsche Version ist schon in Arbeit) - aber ich […]
xt:Commerce - Version 3.04 SP2.1 fertig
Eine neue Version von xt:Commerce ist zum “produktiven Einsatz” freigegeben - Neben einigen Bugfixes ist laut Changelog bei SP2.1 auch […]

7 Antworten zu xt:Commerce - Fehlermeldung im Inputfilter

1. Hasan H. Gürsoy (HHGAG) schrieb am 27. Mai 2008 um 20:43 Uhr
Ich würd die Änderung direkt an der Wurzel vom Übel anpacken und es in der application_top.php
wie folgt ändern:
```
$_GET = $InputFilter->process($_GET);
$_POST = $InputFilter->process($_POST);
```
ändern in:
```
$_GET = $InputFilter->process(str_replace('<>','',$_GET));
$_POST = $InputFilter->process(str_replace('<>','',$_POST));
```
Naja, dadurch dass xt:C nun das 4. Jahr aufm buckel hat ist auch die Inputfilter Klasse wohl bissl überholt
2. pufaxx schrieb am 27. Mai 2008 um 21:13 Uhr

Danke Hasan, funktioniert auch einwandfrei.
3. Igor Klajo schrieb am 29. Mai 2008 um 11:13 Uhr

Danke für den Hinweis . . . welche Methode sollte ich jetzt anwenden oder sollte man beides anwenden nach dem Moto “Doppelt gemoppelt hält besser”
4. pufaxx schrieb am 29. Mai 2008 um 11:36 Uhr

Beides ist nicht nötig - Ich persönlich würde den Inputfilter selbst ändern, denn falls er noch an anderer Stelle als der application_top.php genutzt wird, muss man die anderen Dateien nicht auch ändern. Andererseits funktioniert ohne die application_top.php der Shop nicht, womit dann ebenfalls sämtliche “Kundeneingaben” abgedeckt wären.

Also: Geschmacksache.
5. Max schrieb am 13. Juni 2008 um 23:35 Uhr

Kann das sein, dass xtc eine eigene Lösung für das Problem zur Verfüung stellt? Ist diese zu bevorzugen oder ist die Lösung von Hassan eventuell die bessere Lösung?

http://www.xt-commerce.info/in (...) wdownload&downloaditemid=3
6. pufaxx schrieb am 14. Juni 2008 um 13:56 Uhr

Ich sehe da auf die Schnelle keinen Unterschied - Bis auf dass die str_replace-Anweisung dort zwei Zeilen später steht.
7. mein gott und meine welt » Blog Archive » XSS: xt:Commerce schrieb am 3. November 2008 um 21:37 Uhr

[…] gunnart gibt es evtl. auch einen Lösungsansatz (gunnart.de) für die XSS-Lücke. Da ich selber xt:Commerce nicht verwende kann nicht sagen […]