Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Recommended Posts

Добрий день!
Останнім часом мій магазин стали періодично прощупувати, десь раз в місяць. Приблизно 40 000 запитів на день.
Бачу, що спроба ін'єкції.
Через форму зворотного зв'язку і через "знайшли дешевше" приходять усілякі символи та коди.
Подивився логі сайту – бачу запити по якихось дивних урлах.
Написав системщіку. Він підтвердив, що це спроба ін'єкції і треба захистити код.
Кто розумієтся в цієї справі?
Як поставити захист на код, або як уберегти сайт від ін'єкцій?
Якщо вже були спроби ін'єкції, який зараз реальний ризик, я так розумію ніякого?

Змінено користувачем AlexandrSY
Надіслати
Поділитися на інших сайтах


@SergeTkach правий. Щоби вберегтись від ін'єкцій терба впевнитись, що ніде в запитах до бази даних не використувутютья необроблені дані з форм. Це можна зробити лише вручну візуально перевіривши наявний код модификаторів та всановлених модулів від сторонніх розробників. В дефолтному OpenCart всі запити вже захищені від ін'єкцій.

Надіслати
Поділитися на інших сайтах


В 09.03.2023 в 18:04, AlexandrSY сказав:

Добрий день!
Останнім часом мій магазин стали періодично прощупувати, десь раз в місяць. Приблизно 40 000 запитів на день.
Бачу, що спроба ін'єкції.
Через форму зворотного зв'язку і через "знайшли дешевше" приходять усілякі символи та коди.
Подивився логі сайту – бачу запити по якихось дивних урлах.
Написав системщіку. Він підтвердив, що це спроба ін'єкції і треба захистити код.
Кто розумієтся в цієї справі?
Як поставити захист на код, або як уберегти сайт від ін'єкцій?
Якщо вже були спроби ін'єкції, який зараз реальний ризик, я так розумію ніякого?

Риск есть всегда. Защита от взлома должна быть комплексной. Необходимо внедрять комплекс мер. Начиная с блокировки нездоровой активности на уровне веб-сервера, заканчивая фильтрацией подозрительных вхождений в теле post get запросов.

 

В 09.03.2023 в 19:03, SergeTkach сказав:

Загалом всі запити до бази в OpenCart написані з $this->db->escape() або (int) - то це наче і є захист від SQL-ін'єкцій.

Ну да ну да. Шапочка из фольги.

  • +1 1
Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.