Перейти к содержанию
AES

Безопасность OpenCart

Рекомендуемые сообщения

Доброго времени, хотелось бы пустить пару магазинов на этой платформе, интересует вопрос уязвимости системы.

Наткнулся на такую ссылку - исправлена ли данная дыра?

И хотелось бы услышать мнение пользователей системы - ломали ли сайты у кого нибудь?

Система хороша по сравнению даже с платными аналогами, но дыры пугают...

С уважением Алексей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Наткнулся на такую ссылку - исправлена ли данная дыра?

Написано же в статье, что уязвимость исправлена...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Написано же в статье, что уязвимость исправлена...

Не заметил, спасибо.

А как вообще по надежности система?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ребеята а какие права выставлять на файл config после утсанвоки движка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
aqp91: 600

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а если 777 или 666 можно прочесть логи доступа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

соседи по серверу не только прочитать смогут, но еще и записать)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хотелось бы услышать мнение продвинутых по поводу безопасности в свете последних инноваций по внедрению технологии ajax в скриптах движка (сначала упрощенная форма заказа, теперь вот новая версия- 1.5.1.3). Для не продвинутых поясняю ajax- скрипты исполняются на компьютере клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ajax - скриптов не существует в природе.

AJAX - это определение совместно используемых технологий и ничего более.

Аббревиатура AJAX означает Asynchronous Javascript and XML...

Вы ранее не использовали Javascript и XML? Уверен что использовали даже если не знали об этом...

Почему беспокойство возникло только сейчас? Что изменилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Из любопытства скачал версию трёхлетней давности - OpenCart v1.1.1

В этой версии использовали ajax.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хотелось бы услышать мнение продвинутых по поводу безопасности в свете последних инноваций по внедрению технологии ajax в скриптах движка (сначала упрощенная форма заказа, теперь вот новая версия- 1.5.1.3). Для не продвинутых поясняю ajax- скрипты исполняются на компьютере клиента.

любой js исполняется на клиенте =)

Аббревиатура AJAX означает Asynchronous Javascript and XML...

Вы ранее не использовали Javascript и XML? Уверен что использовали даже если не знали об этом...

фишка именно в Asynchronous

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не любой скрипт участвует в автоматизации оплаты товара :)

Меня впечатлило содержание статьи по этому адресу -http://raz0r.name/articles/zashhita-ot-csrf/#more-149

Пока это не касалось денег, я тоже не интересовался :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

скрипты автоматизированной оплаты должны предоставлять сами платежные системы. нет модуля для того или иного движка - эти пользователи ей не интересны

ну а самопальные скрипты оплаты пользователи используют на свой страх и риск.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну тут не совсем так просто. Платежные системы используют те url которые Вы предоставите (например для двух случаев- проплата прошла/не прошла) и в случае прошла- передают реквизиты проплаты. Как Вы этим в своем движке воспользуетесь- это Ваше дело. В лучшем случае предоставят API для работы с полученными реквизитами проплаты. У меня нет уверенности, что мой покупатель не имеет на своем ПК трояна заточенного как раз под такой случай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не пойму что мы обсуждаем..

я видел модули оплаты изнутри, не во всех проверяется соответствие стоимости товара и суммы которую вернула платежная система по callback урлу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Не любой скрипт участвует в автоматизации оплаты товара :)

Меня впечатлило содержание статьи по этому адресу -http://raz0r.name/articles/zashhita-ot-csrf/#more-149

Пока это не касалось денег, я тоже не интересовался :)

Это называется "кто всрался-невистка"... либо БСК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хорошо, уточню.

Меня, а я намериваюсь создать свой магазин, интересует степень защищенности 1.5.1.3 и упрощенного заказа в котором присутствует автоматизация оплаты. И то и другое хочется использовать.Так как я уже не раз обжигался и немного понимаю в программировании, то решил поискать по теме информацию в инете. Нашел инфу (ссылка выше)за 2008 год, в которой ясно (для программиста) написано, что если в скрипте использующем ajax не применена система защиты маркера доступа, то запросы скриптов моих покупателей можно перенаправить как угодно. Вот и ответьте мне, в этой версии с этой точки зрения все о'кей, также порекомендуйте мне упрощенную форму заказа с соответствующей защитой. Если не знаете, то действительно обсуждать нечего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я понял.

по порядку. при чем тут ajax? сейчас почти все браузеры запрещают передавать XmlXttpRequest запросы на другие домены. IE не все но и CSRF можно осуществить без ajax.

посмотрите api платежных систем. магазин только "выписывает счет" для оплаты товара платежной системе, а пользователь уже сам решает оплачивать его или нет. причем выписывает хитро - в параметрах передаетя md5 всех параметров участвующих в оплате и ключ, известный только магазину и системе оплаты. так же и при вызове callback функции, подтверждающей саму оплату.

если у вас есть мысли на тему не безопасности движка - поделитесь.

"маркер доступа" есть в админке, веских причин завязывать на нем работу магазина я не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>CSRF можно осуществить без ajax.

Это понятно. Просто я плохо знаю ajax, потому и "дую на воду". Спасибо за достаточно убедительный ответ. Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>CSRF можно осуществить без ajax.

Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

ну смотря что вы понимаете под J скриптами..

если js - я уже писал java script исполняется на клиенте. у него нет доступа ни к базе, ни к серверу.

концепции MVC следует строго следовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

Не так. Всё что Вы написали - это просто набор бессмысленных слов..

Вам надо либо разобраться в технологиях, либо поверить на слово: ни один интернет магазин не может самостоятельно списать деньги с Вашего расчетного счета, пластиковой карты, кошелька и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да нет, про платежные системы Вы мне все уже растолковали, благодарю. Я про общий подход. Насколько я понял, собственно поэтому и остановил свой выбор на opencart, в начале своего знакомства с моделью MVC, это наиболее защищенная модель обмена данными между клиентом и БД, вследствие отсутствия прямого обращения из шаблона к базе данных. Так вот вопрос состоит в том, есть ли уже другие решения (например дополнения opencart), построенные на скриптах и при этом вся логика помещена в файл tpl? Вопрос чисто технический, из любопытства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

когда вы пишите скрипт уточняйте какой именно, из контекста не ясно.

вам никто не мешает поместить логику в tpl, но так делают только неграмотные студенты, которые не разбираются как устроен движок. tpl это буква V, т.е отображение. зачем тут логика?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Насколько я понял, собственно поэтому и остановил свой выбор на opencart, в начале своего знакомства с моделью MVC, это наиболее защищенная модель обмена данными между клиентом и БД

MVC к безопасности не имеет отношения.

Так вот вопрос состоит в том, есть ли уже другие решения (например дополнения opencart), построенные на скриптах и при этом вся логика помещена в файл tpl?

За все дополнения не скажу, а в публикуемых сборках такого нет. Но к безопасности это так-же не имеет отношения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.