Добрый день формчани!
Хотел бы поделится некоторыми моментами безопасности в Prestashop, связаны они как раз с Социальная инженерия
Коротко: это взлом через человеческий фактор (Не досмотрел, забыл, etc).
Рассмотрим ситуацию... к примеру у вас магазин и есть 4-5 сотрудников у которых есть доступ в админку, все друзья товарищи, все надежные и все хорошо (обычно так).
Вы естественно не задумываетесь над тем чтобы разграничить права так как нет времени, да и зачем ведь все "друзья".
Самые простые варианта взлома если есть доступ в админку с полными правами.
1) Через модули качаем php-shell (глобально любой), делаем папку shell, кидаем в нее свой shell затем это все в архив и заливаем через модули все теперь shell доступен по пути http://yousite.ru/modules/shell/php-shell.php дальше я думаю не надо и так все понятно
2) Через транслит (или добавление языка), качаем с сайта prestashop.com любой язык например ru.gzip открываем его архиватором, ложем туда shell (в любую папку) и заливаем на сайт через установку языков, теперь shell доступен по адресу http://yousite.ru//themes/prestashop/lang/php-shell.php...
Ну вот как то так это самый элементарный взлом через админку.
Данным постом я просто хочу предупредить пользователей.
и несколько рекомендаций
1) Всегда всегда разграничивайте права на админку, и ни кому не доверяйте вкладки модули, настройки, инструменты.(Или открывайте доступ только на время)
2) Делайте путь к админки через генератор паролей "aZDeXwSnyK"
3) Делайте все (от почты до аккаунта в социалках, не говоря уже об пароле для админки и хостинга, что само собой естественно) пароли от 12 символов "NJPCwuFApVyn16q" и меняйте их минимум 2 раза в год
4) Пользуйтесь только либо софтом open source, либо покупайте. Чтоб получать все самые последними обновления безопасности так как как только выходит новая версия (или обновление) скрипта, 90%, что в сети появится какой нибудь эксплоит, больше 50% разработчиков скриптов (Нормальных) сотрудничают с криптографами и хакерами etc.
Ну так сказать безопасной работы друзья

Взлом таким образом это и не взлом вовсе, а расширение функциональности скрипта добавлением к нему шелла.

А вообще ничего этого не произойдет если не ставить бездумно права на все 777, а сделать, как написано в инсталляторе.

Это "Социальная инженерия", взлом это не законное проникновение а расширение функционала это добровольная модификация...лично мне так кажется,
и даже правильная установка здесь не поможет...

И зачем интересно давать доступ в админку аж 5и человекам? Что они там будут делать сразу все? Закрыть админку можно элементарно пасом через .хтаксесс. дополнительно, а туда можно хоть 50 символов пас сделать, админ через фтп сможет поглядеть пас в случае нужды. А вообще если захотеть - сломать можно всё, тем более опенсорс проект в котором постоянно мелькают ошибки =)

Думаете коммерческий софт лучше и больше застрахован от ошибок? Даже винда - говнософт, который весь в багах и дырах

Я согласен с YellowDuck в части что очень много CMS коммерчиских которые ломаются в течении 5-и минут из которых займет 2 минуты найти эксплоит в сети и 3 мин за использования его.
И соглашусь с CGIStandart насчет того что сломать можно все что угодно...

"И зачем интересно давать доступ в админку аж 5и человекам? Что они там будут делать сразу все?" Работать "Закрыть админку можно элементарно пасом через .хтаксесс." Лично я сделал название папки MD5 Я думаю хватит.
По моей статистике 404 Error не мало людей зачем то пытаются посмотреть админку (судя по запросу)... но опять же это лузеры так как они даже, не могут пределить движок по коду.
И кстати, что ни укого нет ни каких замечаний по безопасности преста... или все знают но молчат
"Гы гы гы лузеры я то знаю что там не впорядке но ни кому не скажу... эта тайна уйдет со мной в могилу" ))))) У кого есть такие мысли призновайтесь ?
Ни когда не надо думать, что это мне не грозит...
Недавний случай расскажу
Звонок... беру трубку...в трубке серьезый мужской голос говорит мне...
Голос: Добрый день как мне переговорить с IT директором или Руководителем предприятия
Я: А по какому вопросу
Голос: Это важно и срочно
Я: Называю свое ФИО и говорю, что я руководитель
Глос: Мы хотим вас предупредить...
Я: Очем???
Голос: Мы обноружили на вашем сайте серьезную уязвимость... и можем вам ее сообщить.
Я: Давайте говорите
Голос: Уязвимость связана с MySQL
Я: И что??
Голос: Мы можем вам ее исправить.. и курировать ваш сайт по безопасности.
Я: Ок... ребята но давайте так я воспользуюсь вашими услугами и соглашусь, что я полный лузер.... Если вы разместите на сервере файл TXT с вашим номером телефона и скинете на него ссылку...
Глос: Ок.. ждите письма (и положил трубку)
(Дело было месяц назад)

90% что это развод на лоха )) Но все-же ведь чем крупнее сайт тем больший интерес к ниму.....

Если все переметры фильровать и обрабатывать средствами движка, то взломать что-либо будет довольно затруднительно. В версиях ниже 1.3 была xss уязвимость, но даже если с помощью нее получить cookie, то не зная папки администратора они бесполезны.
Админку ищут скорее всего не люди, а автоматические сканеры. У меня например часто заходят на wp-admin, хотя с первого взгляда видно, что это не wordpress.


Опенсорс в плане безопасности более защищен. Во-первых каждый может изучить открытый код на предмет потенциальных уязвимостей, закрытый код не является препятствием для злоумышленников, но в случае если вы решите сообщить об уязвимости разработчикам у них могут возникнуть вопросы "зачем же вы копались в коде если это запрещено лицензией?". Во-вторых если в открытом коде найдут уязвимость, то информация о ней появится на багтрекере и ошибка будет устранена разработчиками. Для коммерческого кода афишировать свои ошибки не выгодно, даже если в новой версии они уже исправлены (а зачем обновляться, если все и так работает?).

В принципе уязвимости можно найти везде: просканируйте свой сайт Acunetix Web Vulnerability. Другое дело, что не всеми из них можно воспользоваться.

Опенсорс защищён конечно, когда в нём находят одну ошибку и исправляют её разрабы за 15 минут, но когда там 1000 дырок и их исправляют неделю тут можно и поспорить... Плюс платности в том что если стоит платный движок, значит и бабки на его доработку есть. Значит и безопасность можно сделать серъёзнее, нежели самому сидеть и кодить по ночам, или чем ждать пока разрабы создадут заплатку.

Насчёт сканов админки - аналогично, лезут куда не попадя, пытаются папку phpmyadmin угадать, папку админки магаза, прочие популярные папки...

Насчёт разводов - приходило даже письмо один раз где какой то чёрт из Украины говорил что завалит сайт если мы ему бабло не переведём. Намекал что у него есть связи во властных структурах Украины. Я понимаю если бы я хотябы сам был оттуда, но я из РФ. Смешно конечно если кто то на такое ведётся =))))

Если работают 5 человек одновременно в магазе на престе, то думаю что дела идут хорошо (тем более раз им всем надо сидеть в админке), а значит магаз пора бы вообще на заказ делать под конкретные цели, а не брать нечто усреднённое и точить до потери пульса от 0 до +беспонечности не включая границ =)

На сколько помню с версии 1.1 в престе нашли всего одну уязвимость и исправили ее меньше чем за день после появления на багтрекере.
В некоторых платных движках лишь малая часть прибыли идет на разработку, остально составляет откаты партнерам (до 50%) и расходы на рекламу. По поводу безопасности: а что мешает аудит заказать, это конечно не дешево, но дешевле стоимости некоторых платных систем.

В престе и больше 5 человек в админке может сидеть. Полномочия пользователей очень детально настраиваются. Магазин под заказ тоже до бесконечности точить нужно. Во-первых вопрос с тестированием - престу тестируют 40000 продавцов, представьте сколько времени займет это у одного. Во-вторых ничего не мешает сделать на основе престы магазин под конкретные цели: используя класс ObjectModel можно любую функциональность добавить. В-третьих это только когда магазин под заказ делаешь через некоторые время получаешь нечто конечное, а для себя можно точить и расширять до бесконечности.