“OSCommerce Session Fixation Vulnerability” (securityfocus.com), wurde zwar am 1. April veröffentlicht, aber es ist kein Scherz. Session Fixation bedeutet in diesem Fall, dass die Session-ID im Cookie von einem Angreifer vorgegeben werden kann.

Erklärungen zu der Technik selber spare ich mir an dieser Stelle, wen es interessiert, der möge den folgenden Links zu Wikipedia folgen: Session-ID, HTTP-Cookie, Session Fixation

Ich habe dann mal osCommerce-Shops angesteuert und etwas getestet. Jo, den Bug kann man wunderschön ausnutzen, um an die persönlichen Daten der Shop-Besucher zu kommen oder eben auch an die Daten des Admin. Das ist nicht weiter verwunderlich, da osCommerce schon etwas in die Jahre gekommen ist und noch viele alte Versionen im Einsatz sind. osCommerce wird aber noch immer weiterentwickelt, die neueste Version ist vom 14. März diesen Jahres, die allerdings noch eine Alpha-Version ist.

In dieser v3.0 Alpha 5 vom osCommerce scheint der Bug nicht richtig behoben zu sein, aber auch nicht richtig zu funktionieren. Die injizierte Session-ID wird in der Adresszeile des Browser mit angezeigt bzw. sobald sie nicht mehr angezeigt wird, wurde eine neue ID vergeben. So ganz bugfrei ist die Version natürlich noch nicht, ist eben noch eine Alpha-Version und sollte auf keinen Fall für einen echten Shop benutzt werden.


Der gleiche Bug ist auch in xt:Commerce enthalten. Dies ist seit September bekannt, “xt:Commerce Session Fixation and Cross Site Scripting Vulnerabilities” (securityfocus.com), aber die Entwickler hatten wohl noch keine Zeit ihn zu fixen, denn in dem relativ neuen “Shop für x,y Mio Benutzer” steckt der Bug auch noch drin.