![[+]](http://www.shopmaster.blogmasters.ru/templates/blogmasters_008/imgs/computer.gif){kind=small}
блог![[+]](http://www.shopmaster.blogmasters.ru/templates/blogmasters_008/imgs/bricks.gif){kind=small}
альбомы![[+]](http://www.shopmaster.blogmasters.ru/templates/blogmasters_008/imgs/date.gif){kind=small}
архивы![[+]](http://www.shopmaster.blogmasters.ru/templates/blogmasters_008/imgs/vcard.gif){kind=small}
обо мне![[+]](http://www.shopmaster.blogmasters.ru/templates/blogmasters_008/imgs/mail.gif){kind=small}
мыло мне
Еще раз о безопасности административного интерфейса Interspire Shopping Cart
Статья о блокировке несанкционированного доступа в административный раздел Интернет-магазина была уже написана и опубликована в Блоге Шопмастера http://shopmaster.blogmasters.ru (см. статью "Наглухо закрываем доступ к админке в Interspire Shopping Cart"), когда в процессе обуждения вопросов безопасности Интернет-магазинов с практикующими серыми и черными хакерами была выработана еще одна концепция взлома административного доступа в Интернет-магазин, работающий на базе Interspire Shopping Cart.
Такое проникновение становится возможным из-за излишней интеллигентности и вежливости системы.
Заключается оно во взломе почтового ящика администратора Интернет-магазина, и проникновении в магазин, воспользовавшись паролем доступа, отправленным системой на авторизованный почтовый ящик администратора.
Для этого во-первых, необходимо узнать, на какой адрес электронной почты отправляются уведомления администратору Интернет-магазина, и во-вторых, взломать этот ящик, и узнать новый пароль.
Для того, чтобы узнать, на какой адрес электронной почты администратор Интернет-магазина получает уведомления, на входе в административную панель Interspire Shopping Cart, вместо ввода логина и пароля, жмем на линк "Забыли пароль?"
Система отвечает на это генерацией нового пароля, линка на подтверждение нового пароля, и отправкой линка на адрес электронной почты администратора.
При этом в панели входа в административный раздел магазина выдается сообщение о проделанных действиях, и о том, что письмо отправлено на адрес электронной почты, например vasya@pumpkin.ru.
После этого злоумышленнику остается перейти на почтовый сервер, указанный в адресе после "собаки", и приступить ко взлому почтового ящика, чтобы воспользоваться отправленной туда информацией.
При этом взлом почтового ящика можно заказать в Интернете за 5 долларов, либо ломать его самому. Взлом почтового ящика на популярных сервисах типа "мэил.ру", как известно, не составляет труда. На эту тему существуют даже видеоуроки с подробными инструкциями.
Для устранения описанной уязвимости достаточно просто отменить вывод адреса электронной почты в уведомлении на входе в административную панель. Для этого откройте в текстовом редакторе файл с языковыми перменными
/language/ru/admin/common.ini
и найдите строку с переменной
“ConfirmPassEmailSent”
(она приведена в файле без кавычек, и находится в разделе [Forgot Password]. Я не привожу здесь номер строки, поскольку в моем варианте локализации он может отличаться от вашего).
В этой строке, в тексте, который выводится в сообщении, удалите переменную "%s".
То есть текст, к примеру, звучащий как "Пожалуйста, проверьте входящие сообщения в своем почтовом ящике %s.", замените на "Пожалуйста, проверьте входящие сообщения в своем почтовом ящике.". (Предполагается, что администратор магазина и так прекрасно знает, на какой адрес электронной почты ему будет отправлено уведомление.) У вас этот текст будет, вероятно, другим: здесь для примера использована русская локализация Интернет-магазина Interspire Shopping Cart v5.5.4 от Шопмастера.
К слову сказать, в доступной по этой ссылке Русской локализации Интернет-магазина Inetrspire Shopping Cart v5.5.4 от Шопмастера версии 1.2 данное исправление уже внесено.
Очевидно, что разработчики старались сделать свой магазин наиболее удобным и дружественным к пользователям, потому и возникли такие непредвиденные нюансы, влияющие на общую безопасность системы.
Кстати, если вы пытаетесь войти в административный раздел вашего магазина, работающего на Interspire Shopping Cart, и вместо входа получаете сообщение о неверно введенном пароле, то это, скорее всего, свидетельствует, что какой-то злоумышленник проник в ваш магазин указанным здесь способом.
В заключение стоит упомянуть, что выполнение мероприятий по усилению безопасности Интернет-магазина, описанных в статье "Наглухо закрываем доступ к админке в Interspire Shopping Cart", закрывает и эту уязвимость.
Настоятельно рекомендую всем шопмастерам выполнить рекомендации, приведенные в обеих статьях.
Как всегда, вопросы, советы и комментарии оставляйте в Блоге Шопмастера http://shopmaster.blogmasters.ru, или присылайте на адрес электронной почты shopmaster@list.ru
Желаю всем высокого уровня продаж.
Шопмастер
