Sicherheitslücke?? HILFE

[Sirius2010]

Vorab: Wenn ich falsch gepostet habe, sorry und natürlich VERSCHIEBEN!


Mojn, folgender Fehler:

Gestern hat ein Herr als Gast bestellt. Es wurden alle Felder von ihm ausgefüllt (Name, Adresse, Telefon, EMail, Geb.Dat). Die Bestellung kam bei uns auch an und war auch in Ordnung.

Ca. 8 Std. später kam eine erneute Bestellung dieses Herren. Heute morgen fanden wir eine EMail, dass dieser Herr nur eine Bestellung getätigt hat. Wir hatten mittlerweile aber 3 Bestellungen von ihm! Eine überprüfung ergab nun folgendes: Nennen wir den Herrn Max Mustermann (Gast, kein Konto):

Bestellung um ca. 13.50 h: (korrekte Bestellung)

Kunde, Versandadresse, Rechnungsadresse alles Max Mustermann.


So, nun gehts los:

Um kurz nach 20.00 h kam eine weitere Bestellung:

Kunde und Versandadresse Max Mustermann (auch alle anderen Daten waren von ihm), Rechnungsadresse war eine völlig andere (hab auch keine weiteren Daten über diesen Kunden, hat sich weder als Kunde noch als Gast angemeldet).

Und als ob das nicht reicht, kam noch mal eine Bestellung um kurz von 23.00 h:

Kunde wieder unser Max Mustermann, Rechnungsadresse und Versandadresse wieder ein anderer, jedoch auch hier keine weiteren Daten)

Der Kunde Max Mustermann ist natürlich verärgert, weil er über alle Bestellungen per E-Mail natürlich benachrichtigt wurde (ging wohl alles über seine Gastkonto)!

Hat jemand eine Ahnung, was das sein könnte? Wir sind etwas verzweifelt!

Danke fürs Mitgrübeln

Sirius2010

[xt:mzanier]

shopversion ?

[Sirius2010]

Hallo, tja, wo kann ich das nachsehen? Mein Mann ist leider unterwegs, er konnte es mir nicht erklären! Weiß es auch nicht so richig. Wie dumm ist das denn

[Sirius2010]

PHP Version: 4.4.9 (Zend: 1.3.0)

Das hier?????

[Fry]

Das ist die PHP-Version

Öffne die Startseite deines Shops und dann im Browser oben den Quelltext anzeigen lassen, dort steht dann irgendwas von xtc 3.04 SP2.1 oder Veyton 4.0.12 oder ähnliches, wenn du nicht weisst wie es im Backend geht oder dein Mann erst später anwesend ist.

[xt:mzanier]

bei php 4.4 kann es nur eine Version 3 sein.

Das Problem mit mehreren Bestellungen über ein Konto kann bei Version 3 durchaus auftreten, wenn man irgendwo links mit session id integriert hat (content etc) oder diese wo anders hinterlegt hat (foren usw) und kunden über den gleichen link somit in der gleichen session landen.

[Sirius2010]

Hallo,

also es ist Version 3.0.4 SP 2.1

Zitat:

Zitat von mzanier

wenn man irgendwo links mit session id integriert hat (content etc) oder diese wo anders hinterlegt hat (foren usw) und kunden über den gleichen link somit in der gleichen session landen.

Was bedeutet das genau? Kann man das durch Einstelllungen ändern?

Hier ist übrigens jetzt der Mann

Folgendes Problem ist noch aufgefallen:

BEISPIEL: Ein Besucher stöbert und legt was in den Warenkorb. Er ist ca. 10 Min online. IP z.B. 12345. Kurz darauf ist die IPNr. anders, z.B. 54321, aber die Zeit ist hochgerechnet, also ca. 12 Min. und die Ware ist ebenfalls gleich!

Anderes Beispiel:

Ich als Admin bin angemeldet und sehe, dass ich eine Ware in MEINEM Warenkorb habe, die ich aber NICHT da hineingetan habe. Diese lösche ist, kurz darauf ist sie wieder da

Viele Probs, gell! Gehackt????

Gruß

Sirius2010

[Sirius2010]

Zitat:

Zitat von mzanier

wenn man irgendwo links mit session id integriert hat (content etc)

so was z. B. Google Analytics ????