Jak zabezpieczyć sklep
Napisane:
27 kwi 2013, o 23:01
przez Kamio81
Witam,
Chciałbym Was zapytać jak zabezpieczacie swoje sklepy przed atakami? Ogólnie mówiąc co trzeba mieć i co zrobić by nasz sklep był w miare bezpieczny?
Pozdrawiam!
Re: Jak zabezpieczyć sklep
Napisane:
28 kwi 2013, o 11:29
przez Kamio81
Chodzi mi o np. przechwycenie danych osobowych klientów sklepu, ich numerów kart płatniczych, informacji/plików sklepu, czy silnik jest w miare bezpieczny i nie ma on takich dziur, że będzie łatwo cokolwiek z nim zrobić. Ogólnie to od razu widać, że sklep jest postawiony na Opencarcie, więc jeśli ktoś wie jaki jest rozkład plików/folderów to może to być dość łatwe, tak mi się wydaje...
Re: Jak zabezpieczyć sklep
Napisane:
28 kwi 2013, o 19:57
przez schematx.pl
no to po kolei;
numery kart płatniczych nie są przechowywane w systemie/bazie danych - transakcje wykonywane przy użyciu kart płatniczych przechodzą przez moduł płatności, moduł komunikuje się z serwerem operatora/banku i tylko bank/operator ma dostęp do danych na temat karty itp. w systemie pozostaje informacja o kliencie, o tym że zapłacił kartą, jaką kwotę zapłacił i co zamówił.
jak już wspomniałem wyżej w systemie/bazie danych zostają informacje o kliencie i jego zamówieniach - cały system jest tak bezpieczny jak i bezpieczna jest baza danych, ogólnie dziur które ewidentnie i w łatwy sposób prowadziły by do przejęcia kontroli nad sklepem czy danymi ze sklepu nie znajdziesz - co nie oznacza że ich nie ma (najpopularniejszy sposób opiszę na końcu)
Struktura katalogów - ważne jest aby na serwerze ustawić odpowiedni dostęp do tych katalogów (CHMOD), wtedy masz pewność że nikt niepowołany nie zaglądnie do folderu z poziomu przeglądarki itd.
Kilka rad powtarzanych na innych forach i które każdy administrator OC powinien znać:
- Nie instaluj kilku sklepów na silniku OC w 1 domenie np. twojAdres.pl/sklep1/ i twojAdres.pl/sklep2/
- Ustaw odpowiednio długie hasło dla konta administracyjnego i zmień standardowy login "admin" na coś mniej oczywistego
- Nie dawaj dostępu do konta administratora niezaufanym osobom - w przypadku pomocy technicznej twórz oddzielne konta użytkowników z odpowiednimi uprawnieniami.
- Wyłącz możliwość wgrywania plików przez klientów - czytaj poniżej.
Dlaczego tak ważne jest wyłączenie możliwości wgrywania plików przez klientów? Dla systemu OC w wersjach 1.4.7 do 1.5x możemy pobrać z internetu exploit - specjalnie spreparowany plik który wgrywając z poziomu konta klienta podmienia oryginalny plik systemu i pozwala na dostęp do wszystkich plików na serwerze. Exploit wykorzystuje bibliotekę JSON domyślnie znajdującą się w każdym systemie OC i podmienia plik filemanager.php na swoją spreparowaną wersję która umożliwia m.in. wylistowanie katalogów, zmiany nazw, wgrywanie plików, usuwanie, kopiowanie itd.itd.
w razie niejasności pisz.