Autore Topic: Componente Assoweb gestione libro soci in joomla - falla di sicurezza iscrizioni  (Letto 857 volte)

Offline m.toccoli

  • Nuovo arrivato
  • *
  • Post: 21
    • Mostra profilo
Buongiorno,
ho installato il componente Componente Assoweb gestione libro soci in joomla  che sembrerebbe utilissimo nella gestione del libro soci per le Associazioni come la nostra.
Il problema è che ogni giorno riceviamo delle iscrizioni fittizie come la seguente
[size=78%]Un nuovo utente e' stato iscirtto al sito[/size] Nome:  CobrynRob CobrynFumGL
 mail:sudansia@mail.ru
 CF:
 Nascita:CobrynRob
 CEL:CobrynRob

Nonostante sia attivo nel frontend sia il codice fiscale e sia captcha vedere il nostro link
http://www.docentisenzafrontiere.org/it/template/pages/search.html

 Sito: http://www.docentisenzafrontiere.org/
 Email: soci@docentisenzafrontiere.org


Saremo veramente grati a chi potrà aiutarci nel trovare una soluzione a questa falla del componente. 

Offline marine

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 4379
  • Sesso: Maschio
    • Mostra profilo
Domanda troppo specifica, probabilmente ti conviene sentire direttamente il loro servizio tecnico a questo link

http://www.neonevis.it/component/contact/contact/11-contatti/7-supporto-tecnico.html?Itemid=114

o cambiare componente e passare a qualcosa di più sicuro tipo RSMembership che io uso in diversi siti e non mi ha mai dato problemi di sorta.

Offline rezor

  • Global Moderator
  • Appassionato
  • ********
  • Post: 270
  • Sesso: Maschio
  • If you think education is expensive, try ignorance
    • Mostra profilo
    • Faster Joomla: estensioni e dritte
È da osservare che il recaptcha di google è stato ampiamente bucato, quindi potrebbe anche esulare dal componente, comunque verifica che 'puliscano' opportunamente l'input (ma di solito basta un $db->quote() intorno ai parametri di input quando vengono riutilizzati nelle query, difficile che non ci sia anche se val la pena di controllare).
Architetto e Sviluppatore Senior, ho realizzato oltre 150 siti e portali Joomla, una mezza dozzina di estensioni sul JED e oltre 100 estensioni custom. Pubblico su fasterjoomla.com, e contribuisco su stackoverflow, joomla.org e pasqualoni.it
https://www.fasterjoomla.com/logo.png

Offline m.toccoli

  • Nuovo arrivato
  • *
  • Post: 21
    • Mostra profilo
Grazie per le risposte,
per quanto riguarda neonevis mi indicano che non hanno questo problema sul sito dove hanno loro installato il componente e suggeriscono di acquistare una specie di firewall per il sito (non ho capito bene se antivrus o firewall)


X rezor
mentre per questa vostra gentile risposta se fosse possibile ulteriore traduzione di cosa potremmo fare.....super grazie a Rezor
comunque verifica che 'puliscano' opportunamente l'input (ma di solito basta un $db->quote() intorno ai parametri di input quando vengono riutilizzati nelle query, difficile che non ci sia anche se val la pena di controllare).


 Marine
grazie per il suggerimento sto dando un'occhiata al componente RSMembership per comprendere se si tratta di un libro soci idoneo alle  esigenze di una Associazione.


Cordialmente

Offline rezor

  • Global Moderator
  • Appassionato
  • ********
  • Post: 270
  • Sesso: Maschio
  • If you think education is expensive, try ignorance
    • Mostra profilo
    • Faster Joomla: estensioni e dritte
Pulire l'input: un tipo di attacco estremamente velenoso si chiama sql injection, e che consiste nel manipolare i parametri di un programma per inserirvi codice malevolo.
Il programma legge un dato dall'input, e lo utilizza per interrogare il database; manipolando il parametro possiamo fregare il programma e fargli eseguire del codice. Ed è qui che il programmatore deve intervenire: è appunto responsabilità del programmatore, e non del firewall, quello di validare l'input.

Facciamo un esemipo: Quindi, se trovi codice di questo tipo:

Codice: [Seleziona]
$input = JFactory::getApplication()->input; (oppure JRequest se il codice è giurassico).
$db->query('select id from #__users where username like "'.$input->get('login','raw').'"');

a questo punto l'utente malevolo potrebbe semplicemente passare una combinazione che interrompe il comando in corso e lo fa seguire da un altro, e arrivare a prendere così il controllo dell'intero sito (e girano addirittura programmi che semplificano questa operazione).

Quindi per risolvere: 1. validazione del framework:

Codice: [Seleziona]
$input->get('login')
e 2. escape:

Codice: [Seleziona]
$db->query('select id from #__users where username like '.$db->quote($input->get('login')));
(nota come puoi fare a meno delle virgolette)

Nota: naturalmente la maggior parte dei componenti firewall per joomla svolgono questo compito, quindi puoi risolvere anche con un componente oppure usando mod_security o altro approccio lato webserver.
Architetto e Sviluppatore Senior, ho realizzato oltre 150 siti e portali Joomla, una mezza dozzina di estensioni sul JED e oltre 100 estensioni custom. Pubblico su fasterjoomla.com, e contribuisco su stackoverflow, joomla.org e pasqualoni.it
https://www.fasterjoomla.com/logo.png

Offline m.toccoli

  • Nuovo arrivato
  • *
  • Post: 21
    • Mostra profilo
Grazie moltissime e ancora grazie per la velocità con cui rispondi, ho preso nota e ho girato a neonevis le indicazioni nella speranza possano al più presto sistemare questa situazione... se la soluzione sta nella programmazione del componente... non devo fare nulla nel sito nostro e nemmeno nel database, anzi nel database dovrò cancellare queste iscrizioni false.


Cordialmente


DSF

 

Torna su