Faille de sécurité facture dans phpmyshop

12 août 2005, 13:25

Moi qui pensais avoir (enfin) trouvé un script ecommerce plutôt simple, voilà que j'ouvre un débat !

C'est vrai pour la partie admin, j'ai dû mettre un htaccess pour le répertoire admin, je ne sais pas ce que ça vaut niveau sécurité, mais c'est déjà ça.
Pour les sessions, je n'en suis qu'aux balbutiements de mon apprentissage, mais j'ai vu que, sur le fichier qui pose problème ( entre autres... ) , il y a bien une vérification de la session.. et pourtant dans la pratique celà ne fonctionne pas, puisqu'un utilisateur non authentifier a accès aux factures des autres....

Merci d'avance pour ton travail

12 août 2005, 13:29

Si tu cherches un script mieux fait de e-boutique, regarde du coté de Zen-Cart. Par contre, tout est en anglais, moins facile à suivre encore, mais beaucoup plus sécuritaire et complet.

12 août 2005, 13:32

Sinon, il y a toute une communauté francophone autour de phpmyshop avec un forum spécifique.
Je pense que tu devrais y poser ta question.

Surtout qu'il me semble que ce bug interesse l'ensemble de la communauté utilisant ce script.

12 août 2005, 13:34

Pour ce qui me concerne, je n'ai pas vraiment de question à leur poser, il suffit de faire le tour du code.... un peu laxiste la programmation dans ce truc.

12 août 2005, 13:36

Mes propos s'adressait à stanthecop.

Il utilise un script open-source avec une communauté qui s'active derrière.

Autant qu'il s'adresse en priorité à cette même communauté.

Cette remarque s'adresse d'ailleurs à tous les utilisateurs de scripts.

12 août 2005, 13:38

Ça, on ne le répètera jamais assez

12 août 2005, 13:41

Je suis d'accord avec toi pjl, mais je ne savais même pas qu'il existait une communauté autour de phpmyshop, j'avais pourant cherché avec Google. Si tu as le lien, je suis preneur.

Je pense que la démarche de Cyrano peut interesser du monde aussi, phpfrance est un grand relais de communautés et sans nul doute la 1ere destination quand on cherche de l'info sur php ( j'en suis la preuve vivante

)

Ce script contient donc des bugs et c'est important d'en parler, car comme je disais hier, je sais je me répéte, mais j'ai pu accèder ( alors que je ne suis pas un pro du hacking , loin de là ) , aux factures des boutiques utilisant phpmyshop. Il y a donc bien un problème, non pas de sécurité, mais en tous cas de confidentialité...

12 août 2005, 16:57

Petite découverte instructive sur ce script : http://www.horslimite.net/tutoriel/exploit/71.html
On y apprend par exemple que le script est sujet aux injections SQL pour usurper une identité et accéder n'importe où

Intéressant.

14 sept. 2005, 06:36

Bonjour,

vous parlez d'un forum officiel sur PHPMYSHOP mais vous ne donnez pas l adresse... Si quelqu un l'avait ça serait sympa de nous le communiquer

Sinon Cyrano est-ce que vous avez trouvé une solution pour le problème avec la facture?

Cordialement...

14 sept. 2005, 07:35

14 sept. 2005, 08:06

Merci pour votre réponse,
est-ce que cela corrige aussi le problème avec les factures? (je n ai pas encore essayé ce patch)...

Sinon est-ce que vous connaissez l'adresse du forum de phpmyshop?

Encore merci!

14 sept. 2005, 08:20

14 sept. 2005, 09:20

...Sinon Cyrano est-ce que vous avez trouvé une solution pour le problème avec la facture?..

Salut,
me donne pas du "vous", je me sens vieillir prématurément

Pour la solution, en fait personnellement je me suis lancé dans un contournement du problème global: je suis en train de construire ma propre application de commerce en ligne en codant proprement. Je n'ai pas fouillé très profondément le code de phpMyShop et pour le problème de facture, je me souviens vaguement de la nature du problème mais pour touver une parade, il aurait fallu que j'analyse en détail le programme pour y apporter un correctif, ce que je n'ai pas fait parce qu'avant d'en arriver là, il aurait fallu que je débuggue ce truc dans son ensemble. Ce que je sais, c'est que c'est un problème de variable de session et de test inexistant de l'identité de l'internaute via une variable de session permettant ou non l'affichage d'une facture.

14 sept. 2005, 10:03

Je ne comprends sincèrement pas les gens qui utilisent ce script. Sa dernière version semble dater de début 2003! Et à en juger par le nombre de sites et de forums qui répertorient ses bugs et ses vulnérabilités, sans parler des problèemes de compatibilité (anciennes versions de PHP et mySQL), c'est un mystère pour moi! D'autant plus qu'il semble exister plusieurs scripts/modules plus récents, gratuits ou Open Source, acclamés, et hautement recommendables!

Ils donnent tous la même faille de sécurité!
De plus c'est il me semble le seul projet totalement open source vraiment complet... et qui ne soit pas une usine comme "oscommerce"!
De plus je souhaite utiliser un script français et sans commentaires anglais

Mon but est d'avoir une base pour la faire évoluer selon mes besoins!

Mais si vous avez un script français, totalement open source, qui soit pas une usine... alors je suis bien entendu preneur!!

Pour la solution, en fait personnellement je me suis lancé dans un contournement du problème global: je suis en train de construire ma propre application de commerce en ligne en codant proprement.

Génial, tu compte donner le code (open source)?...
Si oui, où tu en es?

En tout cas merci pour l aide!

14 sept. 2005, 10:09

Génial, tu compte donner le code (open source)?...

Pas vraiment; C'est beaucoup de travail et je suis loin d'avoir fini. Mais ce n'est pas encore définitif comme décision. Je verrai en temps et lieux si je le laisse open source et disponible, j'ai encore quelques semaines de travail pour en terminer une version fonctionnelle et utilisable. Et de toutes façon, même si ce n'est pas une usine du style oscommerce ou zencart, ça demeure un code qui n'est peut-être pas nécessairement facile suivre même si je le commente largement.

Faille de sécurité facture dans phpmyshop

Qui est en ligne