Критические уязвимости безопасности Opencart

Тема в разделе "OpenCart", создана пользователем Владимир Z, 15 янв 2013.

  1. venjerts

    venjerts

    Регистрация:
    16 янв 2013
    Сообщения:
    4
    Симпатии:
    0
    вроде - да
     
  2. WildeRNS

    WildeRNS

    Регистрация:
    6 ноя 2012
    Сообщения:
    151
    Симпатии:
    112
    я так понял, пароль в админке сменили?
     
  3. venjerts

    venjerts

    Регистрация:
    16 янв 2013
    Сообщения:
    4
    Симпатии:
    0
    Да, но вроде ничего не поменяли, может базу слили.
     
  4. endy

    endy

    Регистрация:
    4 ноя 2012
    Сообщения:
    12
    Симпатии:
    14
    1)сброс пароля:
    http://www.opencart.com/index.php?r.../info&extension_id=9281&filter_username=Tcalp
    пусть сначала попадут в админку:Smile:
    2)автоматическое резервное копирование нас спасет-да буте так
    http://www.opencart.com/index.php?r.../info&extension_id=8587&filter_search=anyport
    3) firewall поможет нам защитится:
    http://www.opencart.com/index.php?r...xtension_id=9989&sort=e.date_added&order=DESC
    4)выносим конфиг и админку за приделы сайта
    5)мыло не должно быть дурного типа : [email protected]
    и пасс qwerty или good
    6)закрываем доступ к бд со сторонних ip(у некоторых хостеров есть данная функция)
    7)я не знаю почему но люди ставят пароли на ftp из 5-6 цыфр? я могу позволить себе сделать такое только на тестовых сайтах
    8)попадаются дураки которые делаю все но забывают про главное:
    ставят пасс на хостинге: 123456:Smile:
    на этом пожалуй я закончу
     
    ergoline, Rrrichard, musicfront и 2 другим нравится это.
  5. Alexandr

    Alexandr

    Регистрация:
    6 ноя 2012
    Сообщения:
    178
    Симпатии:
    52
    Если зашло дело то взлома, то согласитесь, нету такого движка, который был бы защищен на все 100%.
    Просто нужно не делать пароли не меньше 60 бит, у меня все пароли под 110 :3
     
  6. KoHcTaHTuHblLj

    KoHcTaHTuHblLj

    Регистрация:
    9 ноя 2012
    Сообщения:
    156
    Симпатии:
    11
    Есть предложение выкладывать уязвимости во всех версиях OpenCart и способы их устранения. Ведь, далеко не всегда удобно каждый раз обновлять свой магазин до последней версии. Кого-то вполне устраивает версия 1.5.1.3 или, скажем, 1.5.3.1, лишь бы дыры были закрыты.
     
  7. hicenko

    hicenko

    Регистрация:
    24 янв 2013
    Сообщения:
    97
    Симпатии:
    17
    В первую очередь менять:
    Ключ шифрования:
    Ключ, который будет использоваться для шифрования конфиденциальной информации при обработке заказов.
     
  8. Bnopen

    Bnopen Команда форума

    Регистрация:
    3 мар 2013
    Сообщения:
    1.155
    Симпатии:
    514
    Есть описание об устранении уязвимости с возможностью просмотра файла system/logs/error.txt на форуме в разделе фичи opencart-а -
    Закрытие серьезной уязвимости в OpenCart c system/logs/error.txt
    Весь журнал ошибок доступен для всех
    Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать.
    Подробнее в этом посте:
    http://wmasteru.ru/threads/Настройки-оптимизации-фичи-статьи-для-opencart.2219/#post-22328
     
    ergoline нравится это.
  9. yuzi

    yuzi

    Регистрация:
    5 янв 2013
    Сообщения:
    123
    Симпатии:
    63
    В первую очередь, поставить доступ к админке через IP. если конечно у Вас он не динамический!
     
  10. KoHcTaHTuHblLj

    KoHcTaHTuHblLj

    Регистрация:
    9 ноя 2012
    Сообщения:
    156
    Симпатии:
    11
    Кодер из меня ещё тот, но, мож, кто знает, выкладывают ли разрабы Опенкарта что-нибудь типа работы над ошибками? Ну, там, какие уязвимости закрываются с выходом новой версии...
     
  11. weber

    weber

    Регистрация:
    7 фев 2013
    Сообщения:
    98
    Симпатии:
    32
    Ну как минимум можете читать changelog, когда появляются обновления. Из него думаю многое будет понятно
     
  12. noobie

    noobie

    Регистрация:
    27 мар 2013
    Сообщения:
    173
    Симпатии:
    22
    Нигде не увидел решения проблем, указнных вот здесь http://www.securitylab.ru/vulnerability/422889.php . Или это проблемы старых версий и для 1.5.4.1 уже неактуально?
     
  13. broker

    broker

    Регистрация:
    27 мар 2013
    Сообщения:
    56
    Симпатии:
    13
    Опенкарт вообще не дырявая. Если конечно обновляться вовремя!
     
  14. noobie

    noobie

    Регистрация:
    27 мар 2013
    Сообщения:
    173
    Симпатии:
    22
    Я выше задал вполне конкретный вопрос на который никто так и не ответил. По поводу версий я не особо видел после 1.5.4 и далее в ченджлоге упоминания о секьюрити фиксах.
    Думаю нужно дополнительно защищать общими методами.
     
  15. kama812

    kama812

    Регистрация:
    30 мар 2013
    Сообщения:
    311
    Симпатии:
    194
    отключи загрузку файлов) включи чпу сторонний)
    что за "общие методы"?
    офф топ, конечно, просто мне понравилось решение с system/logs/error.txt http://wmasteru.ru/threads/Настройки-оптимизации-фичи-статьи-для-opencart.2219/#post-22328:hungry: хотя не офф топ. прежде чем туда ставить htaccess и мудрить, просто взять и переименовать error.txt в не воспринимаемую нормальными людьми хренатень. помните, в админке как раз спрашивают как назвать журнал ошибок)
    собственно и остальные файлы логов ничего не стоит переименовать. но system/logs/error.txt всё таки главный
     
    Lora32 нравится это.
  16. noobie

    noobie

    Регистрация:
    27 мар 2013
    Сообщения:
    173
    Симпатии:
    22
    Общие методы - прятать админку (ограничивать доступ по вайтлисту), вывешивать фейк админку, и т.д.
     
  17. kama812

    kama812

    Регистрация:
    30 мар 2013
    Сообщения:
    311
    Симпатии:
    194
    http://www.waraxe.us/advisory-84.html при чём тут админка? если в статье говорится о загрузке своего скрипта на сайт? если он будет на сайте то узнать где твоя админка проблем не составит, это файл config.php, а тут уже и доступ к БД, а так же всякие ухищерения с доступом по ip, попросту не нужны, кому интересно что у тебя в файлах(навешивать фреймы и вставлять рекламу попросту глупо), если всё самое важное хранится в БД(а там уже и фреймы не составит труда навесить), . лучше подумать как БД защитить.
     
  18. noobie

    noobie

    Регистрация:
    27 мар 2013
    Сообщения:
    173
    Симпатии:
    22
    Я в своем сообщении писал что дополнительно нужно. Понятно если двиг решето то это не поможет.
    Кстати а как без "загрузки файлов" аплоадить товары в шоп? Или включил - загрузил - отключил?
     
  19. kama812

    kama812

    Регистрация:
    30 мар 2013
    Сообщения:
    311
    Симпатии:
    194
    не хочу флуд разводить, ясно что тот кто знает методы защиты и взлома, о них не распространяется, я к сожалению не знаю, подробнее о защите бд можно тут почитать http://vk.cc/1ougGC
    загрузку отключить не для админа, а для пользователя, довольно редки магазины, которые используют поле опции типа upload на странице продукта, а так же в некоторых модулях http://www.opencart.com/index.php?route=extension/extension/info&extension_id=1887&filter_search=custumer upload

    решето, он, не решето, а пока сообщений о взломе магаза на опенкарт не видел
     
  20. vupik

    vupik

    Регистрация:
    6 ноя 2012
    Сообщения:
    58
    Симпатии:
    12
    Столько инфы а теперь вопрос кого ломали? И если ломали то как! Работаю с opencart примерно 3 года, один раз только наткнулся на пост 2010 года и то всё сводилось к тому что В движке была применена уязвимая сторонняя библиотека, что и стало причиной успешной атаки.Но на самом деле просто соблюдайте просттые методы безопасности которые советуют хостинги и всё будет ок! Opencart все годы показывала устойчивую стабильную работу. Так что opencart рулит.
     
    kama812 нравится это.