blog
user
26 062020

Sklep internetowy prestashop w wersji 1.6.x posiada słabo zabezpieczony formularz kontaktowy. Podatność polega na tym, że spam boty wykorzystują formularz aby rozsyłać spam. Spam trafia na skrzynkę właściciela sklepu internetowego. Podatność została oznaczona numerem PSCSX-9132. Jej rozwiązanie zostało zaproponowane jeszcze w 2017r na github. Polegało na utworzeniu ciasteczka (cookie) za każdym razem jak formularz jest generowany. Poprawka dotyczyła plików: ContactController.php oraz contact-form.tpl.

Dodatkowym zabezpieczeniem formularza mogło być dodanie Google reCaptcha. Niestety w praktyce zdarzają się odrzucenia poprawnych adresów e-mail co ostatecznie zniechęca właścicieli sklepów internetowych prestashop do stosowania tego rozwiązania.

Poprawka 8168 okazała się nie wystarczająca. Spam boty znalazły obejście wprowadzonego zabezpieczenia. Wystarczyło zapisywać wygenerowany plik cookie i przekazywać jego wartość podczas spamowania formularza. Spam bot raz otwierał stronę kontaktową zapisywał wartość contactKey przekazywaną w formularzu

<input type="hidden" name="contactKeyPresta" value="{$contactKey}" />

Rozwiązaniem tego problemu jest czyszczenie ciasteczka za każdym razem kiedy zapytanie zostanie poprawnie wysłane. Aby to zrobić należy do pliku ContactController.php dodać kod

$this->context->cookie->__unset('contactFormKey');

przed linią 210 zawierającą kod

$this->context->smarty->assign('confirmation', 1);

Rozwiązanie to pomoże przynajmniej częściowo. Spam bot musiałby za każdym razem otwierać stronę kontaktową aby pobierać nową wartość pliku cookie. Czekamy na modernizację spam botów :D

 

Nasze newsy

Śledź nasze aktualności.

blog
user
15 092020

Optymalizacja strony internetowej - ikonki

Optymalizacja ikonek użytych na stronie www.

blog
user
25 082020

Optymalizacja strony www - CDN

Jak przyspieszyć stronę www z użyciem CDN.

blog
user
30 072020

Modernizacja strony www

Przeprowadziliśmy gruntowną modernizację strony www.zbrojenierozproszone.pl

logo

Masz pytania? Skontaktuj się