Witam,
Szukałem informacji na temat bezpieczeństwa OpenCarta na angielskich stronach/forach nie znalazłem żadnych konkretów.
Chciałbym aby w tym temacie zebrać wszystkie informacje na temat zabezpieczeń OC. Temat bezpieczeństwa nie jest moją mocną stroną.
Dlatego prosił bym bardziej doświadczonych kolegów o konstruktywne posty w jaki sposób można by zabezpieczyć nasze systemy przed ew. wstrzyknięciami.
Opencart Polska
Polskie forum Opencart - dyskusje, polskie tłumaczenia, templates, moduły
Bezpiecze?stwo OpenCart -a
Posty: 2
• Strona 1 z 1
Bezpieczeństwo OpenCart -a
przez staniapl » 19 kwi 2013, o 13:27
-
staniapl - Posty: 631
- Dołączył(a): 13 lut 2012, o 19:47
- Lokalizacja: Zambr?w, Nowe Piekuty
Re: Bezpieczeństwo OpenCart -a
przez schematx.pl » 19 kwi 2013, o 20:46
Ogólnie wersja 1.5.5/1.5.5.1 jest bezpieczna na tyle na ile może być bezpieczne każde otwarte oprogramowanie.
Wątkiem wielokrotnie wałkowanym i opisywanym na zagranicznych forach było; aby nie udostępniać możliwości wgrywania plików przez klientów (często można spotkać taką opcje włączoną na stornach sprzedających koszulki z nadrukami itp. gdzie można wgrać swój wzór do zamówienia) lub ograniczyć upload do konkretnych formatów - temat ten był wielokrotnie przetwarzany za czasów wersji 1.5.2X gdzie stworzono exploit który dawał dostęp do konta admina bez potrzeby logowania.
W wersji 1.5.3.1 luka z której korzystał exploit została załatana.
Około miesiąc temu pojawił się kolejny tego typu "exploit". Nowy exploit działa na wersje od 1.4.7 - 1.5.5.1, prawdopodobnie na starsze wersje też, ponieważ wykorzystuje do działania uniwersalną bibliotekę JSON. Dzięki exploitowi możliwe jest: wylistowanie katalogów i plików, tworzenie/ kopiowanie/ kasowanie/ zmiana nazw folderów/podfolderów i plików, wgrywanie zdjęć i plików flash.
Tak jak w poprzednim wypadku rozwiązaniem jest wyłączenie dostępu do wgrywania plików na serwer/do systemu OC.
Pomijam kwestie typu: ataki słownikowe/bruteforce na panel bo tu odpowiednia długość hasła i inny login niż "admin" całkowicie załatwia sprawę.
Wątkiem wielokrotnie wałkowanym i opisywanym na zagranicznych forach było; aby nie udostępniać możliwości wgrywania plików przez klientów (często można spotkać taką opcje włączoną na stornach sprzedających koszulki z nadrukami itp. gdzie można wgrać swój wzór do zamówienia) lub ograniczyć upload do konkretnych formatów - temat ten był wielokrotnie przetwarzany za czasów wersji 1.5.2X gdzie stworzono exploit który dawał dostęp do konta admina bez potrzeby logowania.
W wersji 1.5.3.1 luka z której korzystał exploit została załatana.
Około miesiąc temu pojawił się kolejny tego typu "exploit". Nowy exploit działa na wersje od 1.4.7 - 1.5.5.1, prawdopodobnie na starsze wersje też, ponieważ wykorzystuje do działania uniwersalną bibliotekę JSON. Dzięki exploitowi możliwe jest: wylistowanie katalogów i plików, tworzenie/ kopiowanie/ kasowanie/ zmiana nazw folderów/podfolderów i plików, wgrywanie zdjęć i plików flash.
Tak jak w poprzednim wypadku rozwiązaniem jest wyłączenie dostępu do wgrywania plików na serwer/do systemu OC.
Pomijam kwestie typu: ataki słownikowe/bruteforce na panel bo tu odpowiednia długość hasła i inny login niż "admin" całkowicie załatwia sprawę.
- schematx.pl
- Posty: 300
- Dołączył(a): 21 sty 2013, o 20:11
Posty: 2
• Strona 1 z 1
Powrót do Pomoc techniczna przy Opencart
Kto przegląda forum
Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 0 gości