在现今的网络中,没有100%的安全性.特别是针对网上购物程序来说,安全性至关重要.
就连Magento这个庞然大物来说.也是有漏洞可循的.
Magento一直以安全著称.但是也出现了比个比较严重的漏洞.
我就拿两个来说说.
漏洞一
此漏洞需要一定的权限,有点不太好搞)
影响版本:
Magento 1.3.2.4
漏洞分析:
在执行添加产品、添加客户组、添加属性集的根目录等操作时,Magento没有正确地过滤用户提交给Name、Product
SKU、Group Name、Class Name、Tax Identifier、Poll Question、Answer
Title等字段的输入参数。远程攻击者可以在上述字段中注入任意HTML和脚本代码,用户查看恶意内容时就会在浏览器会话中执行注入的内容。
漏洞二.(此漏洞可以直接爆出源码,比如mysql密码这些.但是受影响范围小)
影响版本:
Magento
1.5.0.0
漏洞分析:
由于图片存储模块(Magento CDN
model)的改进导致一个潜在的安全漏洞.
利用方法:
Shockingly there is a file
called get.php in a root of Magento. OK, that fact alone is not that
shocking.
Try running something like
http://{{unsecure_base_url}}/get.php/app/etc/local.xml where
{{unsecure_base_url}} is your test host/domain. It will nicely return entire
content of the config.xml file.
Even the demo site
http://demo.magentocommerce.com will show you full database user/password
info
上面的内容并不是告诉大家Magento安全性不好.而是告诉大家Magento安全性非常好.开源对购物程序来说,是非常不妙的一件事.也是非常好的一件事.
开源,大家就能找出程序的漏洞,并加以利用.正因为开源,漏洞也能被及时发现.
今天我要教大家的事,是通过自己的设置.达到,就算被0day袭击.也能安全无恙.
安全基础设置一:为自己的数据库加上表前缀. Magento安装过程中就能自己设置.这个就不多讲.
安全基础设置二:更改后台地址.修改downloader地址(一般都会修改后台地址,而忽略了downloader地址).
安全基础设置三:后台使用与域名或者其他网站不同的用户名以及密码.
安全基础设置四:修改ftp,ssh密码.不要与域名相关,切英文数字混杂.
安全基础设置五:使用ssl访问后台以及checkout页面.
通过以上的设置,你的网站基本上能防止初级以及中级的黑客了.
通过下面的设置,你将防御99.99%的攻击.
Magento安全高级设置一:修改类名,以及url. 此剑一出.高级黑客也没办法..
明明知道有漏洞,却只能干瞪眼.
Magento安全高级设置二:重写以及分析第三方扩展的安全性.
比较狠吧.
Magento安全高级设置三:web DB分离.
更改默认文件放置位置.一些不必要的文件夹,不要放在public下.有效保证数据库的安全.
Magento安全高级设置四:修改Magento密码的加密方式.Magento默认是MD5加密的.大家可以稍做修改.
Magento安全高级设置五:限制访问后台IP,公司统一用VPN进入
服务器的安全设置不在本blog讨论范围之内. 相信我,用上面的办法可以防止99.99%的专业黑客入侵.
还有0.01%,就要从自己公司内部解决了.. 毕竟社会工程学也是黑客入侵的手段.这个没有办法从程序上来阻止.
来自:http://www.ecartchina.com/magento-security-settings.html
分享到:
相关推荐
才开始搞magento外贸的朋友可以进来看看哦,帮助你快速设置邮箱!
magento数据结构分析 magento数据字典
magento用户中文操作手册,学习magento后台管理
magik shoes magento 模板, magento 1.7 模板
magento的SMTP插件magento的SMTP插件magento的SMTP插件
主要包括的内容有:magento的常用设置、Magento模板制作教程、Magento商城_目录结构说明、Magento中文教程实用文档、常用的xml的文件的作用以及自定义模块的应用
如何给产品描述里的关键字、字词批量添加链接?我想大家一直在的这样的...并支持到Magento1.6.2 说明请查看:http://www.hicoogle.com/magento-gei-chan-pin-miao-shu-guan-jian-zi-pi-liang-lian-jie-cha-jian.html
深入理解Magento 由精东博客下载下来制作成pdf
Magento插件开发手册 Magento Extension Developers Guide
Athlete Magento主题,兼容Magento 1.9.x, 1.8.x, 1.7.x ,特点:完全自适应(响应式布局),自定义子主题,无限颜色,完全自定义,一键安装演示,小工具化横幅系统,颜色选择,MEGA菜单,多商店支持,自定义产品...
Magento Magento商城 Magento目录结构
Magento 一步支付onestepcheckoutv3.0
magento2 developers cookbook, magento 开发手册,magento教程
Magento 2 Beginners Guide by Gabriel Guarino English | 14 Mar. 2017 | ASIN: B01MS81BQX | 442 Pages | AZW3 | 31.84 MB Key Features Set up and manage your very first online store with a friendly and ...
magento插件
Magento模板制作教程.pdfMagento模板制作教程.pdfMagento模板制作教程.pdf
redis magento
快速在服务器上复制为另一个站,版本用的是magento,php语言
Magento 的配置系统就像是 Magento 的心脏,支撑着 Magento 的运行。这套 配置系统掌管着几乎所有“module/model/class /template/etc”。它把整个 Magento 系统抽象出来,用一个配置文件来描述。这里的“配置文件”...
magento用户使用手册