Bezpiecze?stwo OpenCart -a

Miejsce na wszelkie dyskusje odnośnie problemów technicznych i ewentualnych pytań z rozbudowaniem systemu w plikach i skryptach Opencart, a które nie dotyczą instalacji.

Bezpieczeństwo OpenCart -a

Postprzez staniapl » 19 kwi 2013, o 13:27

Witam,

Szukałem informacji na temat bezpieczeństwa OpenCarta na angielskich stronach/forach nie znalazłem żadnych konkretów.

Chciałbym aby w tym temacie zebrać wszystkie informacje na temat zabezpieczeń OC. Temat bezpieczeństwa nie jest moją mocną stroną.

Dlatego prosił bym bardziej doświadczonych kolegów o konstruktywne posty w jaki sposób można by zabezpieczyć nasze systemy przed ew. wstrzyknięciami.
Avatar użytkownika
staniapl
 
Posty: 631
Dołączył(a): 13 lut 2012, o 19:47
Lokalizacja: Zambr?w, Nowe Piekuty

Re: Bezpieczeństwo OpenCart -a

Postprzez schematx.pl » 19 kwi 2013, o 20:46

Ogólnie wersja 1.5.5/1.5.5.1 jest bezpieczna na tyle na ile może być bezpieczne każde otwarte oprogramowanie.
Wątkiem wielokrotnie wałkowanym i opisywanym na zagranicznych forach było; aby nie udostępniać możliwości wgrywania plików przez klientów (często można spotkać taką opcje włączoną na stornach sprzedających koszulki z nadrukami itp. gdzie można wgrać swój wzór do zamówienia) lub ograniczyć upload do konkretnych formatów - temat ten był wielokrotnie przetwarzany za czasów wersji 1.5.2X gdzie stworzono exploit który dawał dostęp do konta admina bez potrzeby logowania.
W wersji 1.5.3.1 luka z której korzystał exploit została załatana.

Około miesiąc temu pojawił się kolejny tego typu "exploit". Nowy exploit działa na wersje od 1.4.7 - 1.5.5.1, prawdopodobnie na starsze wersje też, ponieważ wykorzystuje do działania uniwersalną bibliotekę JSON. Dzięki exploitowi możliwe jest: wylistowanie katalogów i plików, tworzenie/ kopiowanie/ kasowanie/ zmiana nazw folderów/podfolderów i plików, wgrywanie zdjęć i plików flash.
Tak jak w poprzednim wypadku rozwiązaniem jest wyłączenie dostępu do wgrywania plików na serwer/do systemu OC.

Pomijam kwestie typu: ataki słownikowe/bruteforce na panel bo tu odpowiednia długość hasła i inny login niż "admin" całkowicie załatwia sprawę.
schematx.pl
 
Posty: 300
Dołączył(a): 21 sty 2013, o 20:11


Powrót do Pomoc techniczna przy Opencart

Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 4 gości

cron