blog
user
26 062020

Sklep internetowy prestashop w wersji 1.6.x posiada słabo zabezpieczony formularz kontaktowy. Podatność polega na tym, że spam boty wykorzystują formularz aby rozsyłać spam. Spam trafia na skrzynkę właściciela sklepu internetowego. Podatność została oznaczona numerem PSCSX-9132. Jej rozwiązanie zostało zaproponowane jeszcze w 2017r na github. Polegało na utworzeniu ciasteczka (cookie) za każdym razem jak formularz jest generowany. Poprawka dotyczyła plików: ContactController.php oraz contact-form.tpl.

Dodatkowym zabezpieczeniem formularza mogło być dodanie Google reCaptcha. Niestety w praktyce zdarzają się odrzucenia poprawnych adresów e-mail co ostatecznie zniechęca właścicieli sklepów internetowych prestashop do stosowania tego rozwiązania.

Poprawka 8168 okazała się nie wystarczająca. Spam boty znalazły obejście wprowadzonego zabezpieczenia. Wystarczyło zapisywać wygenerowany plik cookie i przekazywać jego wartość podczas spamowania formularza. Spam bot raz otwierał stronę kontaktową zapisywał wartość contactKey przekazywaną w formularzu

<input type="hidden" name="contactKeyPresta" value="{$contactKey}" />

Rozwiązaniem tego problemu jest czyszczenie ciasteczka za każdym razem kiedy zapytanie zostanie poprawnie wysłane. Aby to zrobić należy do pliku ContactController.php dodać kod

$this->context->cookie->__unset('contactFormKey');

przed linią 210 zawierającą kod

$this->context->smarty->assign('confirmation', 1);

Rozwiązanie to pomoże przynajmniej częściowo. Spam bot musiałby za każdym razem otwierać stronę kontaktową aby pobierać nową wartość pliku cookie. Czekamy na modernizację spam botów :D

 

Nasze newsy

Śledź nasze aktualności.

blog
user
20 022021

Instalacja szablonu prestashop

Utworzenie nowego sklepu internetowego wiąże się z instalacją szablonu. Jak bardzo skomplikowany jest ten proces?

blog
user
18 012021

Wspierane wersje PHP w 2021 roku

Dostępna jest już wersja 8 PHP a PHP w wersji 7.2 nie jest już wspierane od miesiąca.

blog
user
19 122020

Jaki internet mobilny w Koszalinie

Krótkie porównanie szybkości mobilnego internetu na przykładzie T-Mobile i Plus.

logo

Masz pytania? Skontaktuj się