Jump to content
Search In
  • More options...
Find results that contain...
Find results in...

Recommended Posts

Добрий день!
Останнім часом мій магазин стали періодично прощупувати, десь раз в місяць. Приблизно 40 000 запитів на день.
Бачу, що спроба ін'єкції.
Через форму зворотного зв'язку і через "знайшли дешевше" приходять усілякі символи та коди.
Подивився логі сайту – бачу запити по якихось дивних урлах.
Написав системщіку. Він підтвердив, що це спроба ін'єкції і треба захистити код.
Кто розумієтся в цієї справі?
Як поставити захист на код, або як уберегти сайт від ін'єкцій?
Якщо вже були спроби ін'єкції, який зараз реальний ризик, я так розумію ніякого?

Edited by AlexandrSY
Link to comment
Share on other sites


@SergeTkach правий. Щоби вберегтись від ін'єкцій терба впевнитись, що ніде в запитах до бази даних не використувутютья необроблені дані з форм. Це можна зробити лише вручну візуально перевіривши наявний код модификаторів та всановлених модулів від сторонніх розробників. В дефолтному OpenCart всі запити вже захищені від ін'єкцій.

Link to comment
Share on other sites


В 09.03.2023 в 18:04, AlexandrSY сказав:

Добрий день!
Останнім часом мій магазин стали періодично прощупувати, десь раз в місяць. Приблизно 40 000 запитів на день.
Бачу, що спроба ін'єкції.
Через форму зворотного зв'язку і через "знайшли дешевше" приходять усілякі символи та коди.
Подивився логі сайту – бачу запити по якихось дивних урлах.
Написав системщіку. Він підтвердив, що це спроба ін'єкції і треба захистити код.
Кто розумієтся в цієї справі?
Як поставити захист на код, або як уберегти сайт від ін'єкцій?
Якщо вже були спроби ін'єкції, який зараз реальний ризик, я так розумію ніякого?

Риск есть всегда. Защита от взлома должна быть комплексной. Необходимо внедрять комплекс мер. Начиная с блокировки нездоровой активности на уровне веб-сервера, заканчивая фильтрацией подозрительных вхождений в теле post get запросов.

 

В 09.03.2023 в 19:03, SergeTkach сказав:

Загалом всі запити до бази в OpenCart написані з $this->db->escape() або (int) - то це наче і є захист від SQL-ін'єкцій.

Ну да ну да. Шапочка из фольги.

  • +1 1
Link to comment
Share on other sites


Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.