Komische Sache:
bei der google-Suche nach einem bestimmten XTC-Problem bin ich auf einen Link gestoßen, der folgenden Aufbau hatte (->Domainname wurde mit Rücksicht auf den inzwischen von mir informierten Shop-Betreiber entfernt):
http://www.irgendeine-domain.de/xtcommerce/adm…3722f241b97df30
Nochmal den wichtigen Teil als Text: ....xtcommerce/admin/categories.php?sorting=stock&cPath=0_3&&XTCsid=b7a852580f36854af3722f241b97df30....
Sobald man auf den Eintrag in den Suchergebnissen klickte, gelangte man ohne Probleme in den Adminbereich des Shops und hätte dort alle Kundendaten einsehen sowie alle Daten ändern können.
(Über das Frontend des Shops funktionierte der Zugang nur mit E-Mail-Adresse + Kennwort.)
Kann soetwas auch mit den cseo-Shops passieren und wie kann man sich gegen derartige Dinge wirksam absichern???
Gruß
Bernd E.
PS:
hier noch die "Session-Einstellungen" des Shops (könnte da der "Hund begraben" sein?):
Session Speicherort /tmp
Cookie Benutzung bevorzugen False
Checken der SSL Session ID False
Checken des User Browsers False
Checken der IP Adresse False
Session erneuern False