blog
user
26 062020

Sklep internetowy prestashop w wersji 1.6.x posiada słabo zabezpieczony formularz kontaktowy. Podatność polega na tym, że spam boty wykorzystują formularz aby rozsyłać spam. Spam trafia na skrzynkę właściciela sklepu internetowego. Podatność została oznaczona numerem PSCSX-9132. Jej rozwiązanie zostało zaproponowane jeszcze w 2017r na github. Polegało na utworzeniu ciasteczka (cookie) za każdym razem jak formularz jest generowany. Poprawka dotyczyła plików: ContactController.php oraz contact-form.tpl.

Dodatkowym zabezpieczeniem formularza mogło być dodanie Google reCaptcha. Niestety w praktyce zdarzają się odrzucenia poprawnych adresów e-mail co ostatecznie zniechęca właścicieli sklepów internetowych prestashop do stosowania tego rozwiązania.

Poprawka 8168 okazała się nie wystarczająca. Spam boty znalazły obejście wprowadzonego zabezpieczenia. Wystarczyło zapisywać wygenerowany plik cookie i przekazywać jego wartość podczas spamowania formularza. Spam bot raz otwierał stronę kontaktową zapisywał wartość contactKey przekazywaną w formularzu

<input type="hidden" name="contactKeyPresta" value="{$contactKey}" />

Rozwiązaniem tego problemu jest czyszczenie ciasteczka za każdym razem kiedy zapytanie zostanie poprawnie wysłane. Aby to zrobić należy do pliku ContactController.php dodać kod

$this->context->cookie->__unset('contactFormKey');

przed linią 210 zawierającą kod

$this->context->smarty->assign('confirmation', 1);

Rozwiązanie to pomoże przynajmniej częściowo. Spam bot musiałby za każdym razem otwierać stronę kontaktową aby pobierać nową wartość pliku cookie. Czekamy na modernizację spam botów :D

 

Nasze newsy

Śledź nasze aktualności.

blog
user
08 072020

Fałszywe e-maile z żądaniem okupu

Na konta e-mailowe naszych klientów trafiają informacje z żądaniem okupu w BTC

blog
user
04 072020

Jak utworzyć nowy plik szablonu bez ftp

Krótki poradnik jak utworzyć nowy plik szablonu bez dostępu do ftp.

blog
user
26 062020

Spam przez formularz kontaktowy prestashop

Nadeszła kolejna fala spamu przez formularz kontaktowy prestashop.

logo

Masz pytania? Skontaktuj się