【宝くじ】パチンコより2億倍は楽しい【ロト6】

カテゴリー: osCommerce
投稿者: デニィ
投稿日時: 2012-02-12 - 13:20:18

情報拡散が不充分っぽいのでお手伝い。

以下転載 -----

こんにちは、田村です。

osCommerce MS1 日本語版 R9 をリリースします

R8 以前のバージョンには、クロスサイトスクリプティングの脆弱性が存在
しますので、その対策をまとめたものです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■概要
osCommerce 2.2MS1J にクロスサイトスクリプティングの脆弱性が存在します。
影響を受けるシステム: osCommerce 2.2MS1J R8 およびそれ以前

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■想定される影響
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■対策方法
下のURLから最新版をダウンロードして、スクリプトを置き換えてください。
http://sourceforge.jp/projects/tep-j/downloads/3606/oscommerce-2.2ms1j-R9.tar.gz/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■R8 からの変更点

変更ファイル:
admin/backup.php
admin/includes/classes/split_page_results.php
catalog/advanced_search.php
catalog/contact_us.php
catalog/tell_a_friend.php
extras/update.php

--
田村敏彦 / 株式会社ビットスコープ
E-mail:tamura @ bitscope.co.jp
http://www.bitscope.co.jp/

----- ここまで

影響するのはosCommerce 2.2MS1J R8から派生している、+mobilealter系、ひょっとしたらZen Cartも。

対策はgeneral.phpのtep_sanitize_string()で、スクリプトの投稿を排除する事でおこなう。




カテゴリー: osCommerce
投稿者: デニィ
投稿日時: 2010-06-11 - 12:51:09

oscommerce(v2.2RC2a)
oscommerce(v2.2jMS1)



タイトルのようなキーワードで訪問される方が多いので書いておきたいと思います。

ずっと前にもを書いたのですが、引退後に暇を持て余した団塊さんや携帯端末の機能充実によるユーザー拡大で、半角カナ文字や全角スペースなど、あまり歓迎できない入力が増えてくると思います。

で、対策ですが、PHPのmb_convert_kanaという関数を使うのが簡単で一般的だと思います。
ただ、海外のレンタルサーバーの場合は入っていない場合もありますので、RC2aを独自に日本語化して使っている場合はサーバー管理者に頼んで導入してもらうか、PHP SAMPLES & TIPSさんのjcode.phpmbstring_wrapper.php(jcode.phpをmbstringライクに使用する)をms1から移植したり、カリフォルニアワインのお勝手口さんのmbstringエミュレータを導入するなどして対応します。




カテゴリー: osCommerce
投稿者: デニィ
投稿日時: 2010-06-09 - 16:35:00

oscommerce(v2.2RC2a)



2008年頃(もっと前かも)から言われている*icon_doc*admin/file_manager.phpの脆弱性(directory traversal)を利用したリモートアップロード(ダウンロードも可)。
そんな事から*icon_doc*admin/file_manager.phpは削除してしまうのが基本といわれています。

で、私が遊んでいる(放置中)oscommerce(v2.2RC2a)には*icon_doc*admin/file_manager.phpが放置されていたんですよね=:[

その結果がこれですよ:[]

ざっと調べてみると、*icon_doc*admin/file_manager.phpを利用して、書き込み可能なディレクトリ(images等)にリモートシェルスクリプト(使ってみましたが非常に高機能:))を設置して、それを足がかりに好き勝手に改竄するという感じです。

マクシモクブログの場合は特に改竄されたわけではなく、犯行声明(twe.html)が置かれていっただけなのですが、酷い場合にはトップページにトルコの国旗がはためいていたりするみたいです。

対策として簡単なのから、
1)*icon_dir*imagesなどのパーミッションを755で運用する。
2)*icon_dir*admin/のリネーム
3)*icon_doc*admin/file_manager.phpの削除
4)*icon_doc*admin/.htaccessで、アクセスを制御する。
5)本家フォーラムを参考にいろいろする。
6)osCommerceをあきらめる。
などがあります。

あと、多分に絶対*icon_doc*configure.phpは見られちゃっていますので、管理用のパスワードやユーザーネーム(サーバー・データベース等、全て)は速やかに変更する必要があります。

よし、これでタイトルの即死はもう無いよね?



とは、残念ながらならないんです。




カテゴリー: osCommerce
投稿者: デニィ
投稿日時: 2010-03-05 - 12:00:00

oscommerce(v2.2RC2a)

一応やっつけた感があったのでテスト運用(やる気でなかった)していたoscommerce(v2.2RC2a)ですが。。。



サーチエンジンテロ
こんなことになっちゃってました:ahhh:
これは間違いなくスパム!
サーチエンジンテロともいえるかもしれません=:[

googleさんのウエブマスターツールで、パラメータだけでも切っておけばこんなことには・・・
で、せっかくの機会なので作業を再開したいと思います。




カテゴリー: osCommerce
投稿者: デニィ
投稿日時: 2009-09-16 - 05:41:49

oscommerce-2.2ms1j

現在、日本語対応の作業をしているRC2aでは問題ないのですが、
国内メジャーであるms1jではレビューでスペース無しの半角文字列を投稿されると改行されずに右カラムが幅を利かせ、メインカラムの肩身が狭くなります。

これはブラウザの仕様で、半角のみの文字列の場合、スペースを単語の区切りとして判断し、改行するために発生します。
osCommerceを国内限定で運用する場合にはあまりそういった状況にはならないですが、可能性はゼロではないです。