Jak zabezpieczy? sklep

Miejsce na dowolne dyskusje nie dotyczące Opencart i innych systemów e-commerce.

Jak zabezpieczyć sklep

Postprzez Kamio81 » 27 kwi 2013, o 23:01

Witam,

Chciałbym Was zapytać jak zabezpieczacie swoje sklepy przed atakami? Ogólnie mówiąc co trzeba mieć i co zrobić by nasz sklep był w miare bezpieczny?

Pozdrawiam!
Kamio81
 
Posty: 12
Dołączył(a): 16 mar 2013, o 23:32

Re: Jak zabezpieczyć sklep

Postprzez schematx.pl » 28 kwi 2013, o 08:33

Atakami? jakiego typu?
schematx.pl
 
Posty: 300
Dołączył(a): 21 sty 2013, o 20:11

Re: Jak zabezpieczyć sklep

Postprzez Kamio81 » 28 kwi 2013, o 11:29

Chodzi mi o np. przechwycenie danych osobowych klientów sklepu, ich numerów kart płatniczych, informacji/plików sklepu, czy silnik jest w miare bezpieczny i nie ma on takich dziur, że będzie łatwo cokolwiek z nim zrobić. Ogólnie to od razu widać, że sklep jest postawiony na Opencarcie, więc jeśli ktoś wie jaki jest rozkład plików/folderów to może to być dość łatwe, tak mi się wydaje... :?
Kamio81
 
Posty: 12
Dołączył(a): 16 mar 2013, o 23:32

Re: Jak zabezpieczyć sklep

Postprzez schematx.pl » 28 kwi 2013, o 19:57

no to po kolei;

numery kart płatniczych nie są przechowywane w systemie/bazie danych - transakcje wykonywane przy użyciu kart płatniczych przechodzą przez moduł płatności, moduł komunikuje się z serwerem operatora/banku i tylko bank/operator ma dostęp do danych na temat karty itp. w systemie pozostaje informacja o kliencie, o tym że zapłacił kartą, jaką kwotę zapłacił i co zamówił.

jak już wspomniałem wyżej w systemie/bazie danych zostają informacje o kliencie i jego zamówieniach - cały system jest tak bezpieczny jak i bezpieczna jest baza danych, ogólnie dziur które ewidentnie i w łatwy sposób prowadziły by do przejęcia kontroli nad sklepem czy danymi ze sklepu nie znajdziesz - co nie oznacza że ich nie ma (najpopularniejszy sposób opiszę na końcu)

Struktura katalogów - ważne jest aby na serwerze ustawić odpowiedni dostęp do tych katalogów (CHMOD), wtedy masz pewność że nikt niepowołany nie zaglądnie do folderu z poziomu przeglądarki itd.

Kilka rad powtarzanych na innych forach i które każdy administrator OC powinien znać:
- Nie instaluj kilku sklepów na silniku OC w 1 domenie np. twojAdres.pl/sklep1/ i twojAdres.pl/sklep2/
- Ustaw odpowiednio długie hasło dla konta administracyjnego i zmień standardowy login "admin" na coś mniej oczywistego
- Nie dawaj dostępu do konta administratora niezaufanym osobom - w przypadku pomocy technicznej twórz oddzielne konta użytkowników z odpowiednimi uprawnieniami.
- Wyłącz możliwość wgrywania plików przez klientów - czytaj poniżej.

Dlaczego tak ważne jest wyłączenie możliwości wgrywania plików przez klientów? Dla systemu OC w wersjach 1.4.7 do 1.5x możemy pobrać z internetu exploit - specjalnie spreparowany plik który wgrywając z poziomu konta klienta podmienia oryginalny plik systemu i pozwala na dostęp do wszystkich plików na serwerze. Exploit wykorzystuje bibliotekę JSON domyślnie znajdującą się w każdym systemie OC i podmienia plik filemanager.php na swoją spreparowaną wersję która umożliwia m.in. wylistowanie katalogów, zmiany nazw, wgrywanie plików, usuwanie, kopiowanie itd.itd.

w razie niejasności pisz.
schematx.pl
 
Posty: 300
Dołączył(a): 21 sty 2013, o 20:11


Powrót do Off-Topic

Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 1 gość