Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



[osCommerce - Partie 5] Sécurisation et finalisation

Par Rédaction, secuobs.com
Le 17/05/2007


Résumé : Retrouvez le détail des différentes opérations nécessaires à la sécurisation d'une boutique osCommerce (safe_mode, register_globals, ...) mais aussi les premiers tests d'achat et l'installation du certificat définitif fourni par la banque.



Sécurisation d'Oscommerce :

Accéder à « bank.secuobs.com/admin »
Cliquez sur « Configuration » :
Cliquez sur « Session » :
Positionner « Forcez l'utilisation des sessions quand les Cookies sont permis. » sur « True ».
Positionner « Valider la SSL_SESSION_ID sur chaque demande de page sécurisée en HTTPS. » sur « True ».
Positionner « Empêchez les araignées connues de commencer une session. » sur « True ».
Positionner « Recréez la session pour produire une nouvelle identification de session quand le client entre ou crée un compte (PHP < = 4.1 nécessaire). » sur « True ».

Activation de « register_globals = On » en téléchargeant le patch « Register Globals » sur « lien »

root@pimp_osc:/home/secuobs.com/bank/catalog # mv ~/Desktop/register_globals_v1.3.tar.gz ./
root@pimp_osc:/home/secuobs.com/bank/catalog # cd ../
root@pimp_osc:/home/inetdata/bank.secuobs.com # cp -a catalog catalog.backup
root@pimp_osc:/home/inetdata/bank.secuobs.com # cd catalog
root@pimp_osc:/home/secuobs.com/bank/catalog # tar -zxvf register_globals_v1.3.tar.gz
root@pimp_osc:/home/secuobs.com/bank/catalog # cat register_globals_v1.3/catalog_patch | more

Effectuer les modifications de ce patch sur l'ensemble des fichiers concernés puis finaliser en éditant le fichier « /usr/local/lib/php.ini » et remplacer « register_globals = On » par « register_globals = Off ».

root@pimp_osc:/home/secuobs.com/bank/catalog # /usr/local/apache/bin/apachectl stop
root@pimp_osc:/home/secuobs.com/bank/catalog # /usr/local/apache/bin/apachectl startssl


Test d'achat :

Accéder à « bank.secuobs.com »
Sélectionner un produit
Cliquer sur « Add To Cart »
Cliquer sur « Checkout »
Cliquer sur « Continue »
Cliquer sur « Continue »
Cliquer sur « Continue »
Cliquer sur « VISA »

Entrez les informations bancaires relatives à un test d'achat avec Oscommerce :

Le numéro de carte sur « 1111111111111111100 »
La date de validité sur « 02-February / 2007 »
Le « Card Security Code » à « 000 »
Cliquer sur « Submit »

Puis cliquer sur « BACK TO THE SHOP »

La commande est effectuée.


Installer le certificat définitif donné par votre banque, ici la BNP pour MERCANET :

root@pimp_osc:/home/secuobs.com/bank/catalog # mv ~/CERTIF.FR.SIPSATIS_OSC.ZIP ./
root@pimp_osc:/home/secuobs.com/bank/catalog # unzip CERTIF.FR.SIPSATIS_OSC.ZIP
root@pimp_osc:/home/secuobs.com/bank/catalog # wine certif.fr.SIPSATIS_OSC.exe

Entrez le mot de passe, également donné par votre banque, la BNP ici.

Renommer « /home/secuobs.com/bank/catalog/certif.fr.sipsatis_bank » en « /home/secuobs.com/bank/catalog/certif.fr.xxxxxxxxxxxxxxxx » où « xxxxxxxxxxxxxxxx » est le numéro de boutique donné par votre banque puis déplacer « /home/secuobs.com/bank/catalog/certif.fr.xxxxxxxxxxxxxxxx » vers « /home/secuobs.com/bank/catalog/param/ ». Changer enfin l'identifiant commerçant dans la configuration du module « ATOS » dans l'interface web.


Activer le « safe_mode = On » en éditant « /home/secuobs.com/bank/catalog/includes/functions/html_output.php » puis remplacer :

// The HTML href link wrapper function
function tep_href_link($page = '', $parameters = '', $connection = 'NONSSL', $add_session_id = true, $search_engine_safe = true) {
global $request_type, $session_started, $SID;

Par :

// The HTML href link wrapper function
function tep_href_link($page = '', $parameters = '', $connection = 'NONSSL', $add_session_id = false, $search_engine_safe = true) {
global $request_type, $session_started, $SID;

Remplacer « safe_mode = Off » par « safe_mode = On » ainsi que « safe_mode_exec_dir = » par « safe_mode_exec_dir = /home/secuobs.com/bank/atos/ » dans « /usr/local/lib/php.ini ».

Dans « /home/secuobs.com/bank/catalog/includes/modules/payment/atos.php », remplacer tous les « shell_exec » par des « exec ».

Sécurisation : Remplacer « file_uploads = On » par « file_uploads = Off » dans « /usr/local/lib/php.ini »

root@pimp_osc:/home/secuobs.com/bank/catalog # /usr/local/apache/bin/apachectl stop
root@pimp_osc:/home/secuobs.com/bank/catalog # /usr/local/apache/bin/apachectl startssl


Le terminal de paiement francophone :

Dans « /home/secuobs.com/bank/catalog/atos/parmcom. xxxxxxxxxxxxxxxx » ou « xxxxxxxxxxxxxxxx » est toujours votre identifiant commerçant, ajouter :

MERCHANT_COUNTRY!fr!
MERCHANT_LANGUAGE!fr!


Sécuriser le répertoire d'administration :

« root@pimp_osc:/home/secuobs.com/bank/catalog # mv admin ../../perdu » dans un premier temps et « root@pimp_osc:/home/secuobs.com/bank/catalog # mv perdu ../../ » quand vous ne vous en servez pas et « root@pimp_osc:/home/secuobs.com/bank/catalog # mv ../../perdu ./ » quand vous en avez besoin.

Remplacer alors « define('DIR_FS_ADMIN', '/home/secuobs.com/bank/catalog/admin/'); // absolute pate required » en « define('DIR_FS_ADMIN', '/home/secuobs.com/bank/catalog/perdu/'); // absolute pate required » dans « /home/secuobs.com/bank/catalog/admin/includes/configure.php ».


Nettoyer votre installation :

root@pimp_osc:/home/secuobs.com/bank/catalog # mv CERTIF.FR.SIPSATIS_OSC.ZIP ../
root@pimp_osc:/home/secuobs.com/bank/catalog # mv certif.fr.SIPSATIS_OSC.exe ../
root@pimp_osc:/home/secuobs.com/bank/catalog # mv register_globals_v1.3.tar.gz ../
root@pimp_osc:/home/secuobs.com/bank/catalog # mv MERCANET_p600_PLUGIN_LINUX-2.6.9.tar ../
root@pimp_osc:/home/secuobs.com/bank/catalog # exit


Autres ressources dans ce dossier :

[osCommerce - Partie 1] Présentation et installation préalable - lien

[osCommerce - Partie 2] Configuration préalable - lien

[osCommerce - Partie 3] Configuration d'osCommerce et installation d'ATOS/SIPS - lien

[osCommerce - Partie 4] MERCANET et configuration ATOS/SIPS - lien