Joomla.it Forum
Non solo Joomla... => Sicurezza => : m.toccoli 24 Mar 2018, 15:58:07
-
Buongiorno,
ho installato il componente Componente Assoweb gestione libro soci in joomla che sembrerebbe utilissimo nella gestione del libro soci per le Associazioni come la nostra.
Il problema è che ogni giorno riceviamo delle iscrizioni fittizie come la seguente
[size=78%]Un nuovo utente e' stato iscirtto al sito[/size] Nome: CobrynRob CobrynFumGL
mail:sudansia@mail.ru
CF:
Nascita:CobrynRob
CEL:CobrynRob
Nonostante sia attivo nel frontend sia il codice fiscale e sia captcha vedere il nostro link
http://www.docentisenzafrontiere.org/it/template/pages/search.html
Sito: http://www.docentisenzafrontiere.org/
Email: soci@docentisenzafrontiere.org
Saremo veramente grati a chi potrà aiutarci nel trovare una soluzione a questa falla del componente.
-
Domanda troppo specifica, probabilmente ti conviene sentire direttamente il loro servizio tecnico a questo link
http://www.neonevis.it/component/contact/contact/11-contatti/7-supporto-tecnico.html?Itemid=114
o cambiare componente e passare a qualcosa di più sicuro tipo RSMembership che io uso in diversi siti e non mi ha mai dato problemi di sorta.
-
È da osservare che il recaptcha di google è stato ampiamente bucato, quindi potrebbe anche esulare dal componente, comunque verifica che 'puliscano' opportunamente l'input (ma di solito basta un $db->quote() intorno ai parametri di input quando vengono riutilizzati nelle query, difficile che non ci sia anche se val la pena di controllare).
-
Grazie per le risposte,
per quanto riguarda neonevis mi indicano che non hanno questo problema sul sito dove hanno loro installato il componente e suggeriscono di acquistare una specie di firewall per il sito (non ho capito bene se antivrus o firewall)
X rezor
mentre per questa vostra gentile risposta se fosse possibile ulteriore traduzione di cosa potremmo fare.....super grazie a Rezor
comunque verifica che 'puliscano' opportunamente l'input (ma di solito basta un $db->quote() intorno ai parametri di input quando vengono riutilizzati nelle query, difficile che non ci sia anche se val la pena di controllare).
Marine
grazie per il suggerimento sto dando un'occhiata al componente RSMembership per comprendere se si tratta di un libro soci idoneo alle esigenze di una Associazione.
Cordialmente
-
Pulire l'input: un tipo di attacco estremamente velenoso si chiama sql injection, e che consiste nel manipolare i parametri di un programma per inserirvi codice malevolo.
Il programma legge un dato dall'input, e lo utilizza per interrogare il database; manipolando il parametro possiamo fregare il programma e fargli eseguire del codice. Ed è qui che il programmatore deve intervenire: è appunto responsabilità del programmatore, e non del firewall, quello di validare l'input.
Facciamo un esemipo: Quindi, se trovi codice di questo tipo:
$input = JFactory::getApplication()->input; (oppure JRequest se il codice è giurassico).
$db->query('select id from #__users where username like "'.$input->get('login','raw').'"');
a questo punto l'utente malevolo potrebbe semplicemente passare una combinazione che interrompe il comando in corso e lo fa seguire da un altro, e arrivare a prendere così il controllo dell'intero sito (e girano addirittura programmi che semplificano questa operazione).
Quindi per risolvere: 1. validazione del framework:
$input->get('login')
e 2. escape:
$db->query('select id from #__users where username like '.$db->quote($input->get('login')));
(nota come puoi fare a meno delle virgolette)
Nota: naturalmente la maggior parte dei componenti firewall per joomla svolgono questo compito, quindi puoi risolvere anche con un componente oppure usando mod_security o altro approccio lato webserver.
-
Grazie moltissime e ancora grazie per la velocità con cui rispondi, ho preso nota e ho girato a neonevis le indicazioni nella speranza possano al più presto sistemare questa situazione... se la soluzione sta nella programmazione del componente... non devo fare nulla nel sito nostro e nemmeno nel database, anzi nel database dovrò cancellare queste iscrizioni false.
Cordialmente
DSF