Мобильное приложение администратора для Opencart

DoTradePro · 31 березня 2016

Всем доброго времени суток! Хочу представить мобильное приложение для магазина Opencart.

Программа бесплатная, скачать ее можно по адресу https://play.google.com/store/apps/details?id=pro.dotrade.easymaneger - Андройд

Для iOS приложение находится на проверке, ссылка будет позже.

Возможности:

- Добавление нескольких магазинов

- Поддержка следующих cms: JoomShopping, VirtueMart, Prestashop, Opencart, oSCommerce, X-Cart

- Просмотр и поиск заказов

- Просмотр и поиск товаров

- Просмотр клиентов

В ближайшее время добавятся пуш уведомления для новых заказов и статистика.

После установки приложения необходимо скачать скрипт по адресу http://manager.dotrade.pro/api_v1.zip и положить его в корень сайта . Без него работа приложения невозможна. Далее необходимо перейти по адресу http://ваш сайт/api/install.php, ввести ваш собственный пароль для доступа к api и отравить форму, затем в папке должен появится файл config.ini где будет строка

api_key = 098f6bcd4621d373cade4e832627b4f6 (ваш пароль в зашифрованном виде).

В мобильное устройство нужно вводить ваш не зашифрованный пароль.

Необязательно! Но для уникального шифрования пароля в папке api желательно изменить файл DBManager.php. В первой строке $secret = "sdvNkub7ygBJgKj7"; - записать свое секретное слово.

Shureg · 31 березня 2016

Как-то подозрения у меня вызывают приложения, сайт которых заполнен lorem ipsum, а телефон из десяти двоек. И при этом им надо всего лишь рассказать все пароли.

Змінено 31 березня 2016 користувачем Shureg

DoTradePro · 31 березня 2016

Как-то подозрения у меня вызывают приложения, сайт которых заполнен lorem ipsum, а телефон из десяти двоек. И при этом им надо всего лишь рассказать все пароли.

Да он просто в стадии наполнения. Пароли вы нам не сообщаете, они исключительно ваши, потом еще и зашифрованы. Какого-либо доступа к данным на вашем сайте мы не имеем.

Змінено 31 березня 2016 користувачем DoTradePro

freelancer · 31 березня 2016

api\.htaccess

<Files config.ini>
order allow,deny 
deny from all
</Files>

я думаю вот это правило может не всегда сработать и тогда любой получит доступ к магазину

DoTradePro · 31 березня 2016

api\.htaccess
<Files config.ini>
order allow,deny 
deny from all
</Files>
я думаю вот это правило может не всегда сработать и тогда любой получит доступ к магазину

Спасибо, мы попробуем это изменить. Но, получив доступ к файлу config.ini, злоумышленник получит только доступ к хешу пароля с дополнительным ключом шифрования, сам ключ находится в dbmanager.php.

Shureg · 31 березня 2016

Спасибо, мы попробуем это изменить. Но, получив доступ к файлу config.ini, злоумышленник получит только доступ к хешу пароля с дополнительным ключом шифрования, сам ключ находится в dbmanager.php.

Ага. И доступ к нему получать не надо, он и так широко известен. Поскольку хорошо, если один из десяти юзеров будет его менять. Даже если прочитает инструкцию - написано же, что необязательно.

DoTradePro · 31 березня 2016

Ага. И доступ к нему получать не надо, он и так широко известен. Поскольку хорошо, если один из десяти юзеров будет его менять. Даже если прочитает инструкцию - написано же, что необязательно.

А вы прочитали инструкцию, что после запуска install.php вы вводите свой пароль, который никому неизвестен? А то, что необязательно, так это смена ключа для шифрования и это разные вещи.

Shureg · 31 березня 2016

config.ini где будет строка

api_key = 098f6bcd4621d373cade4e832627b4f6 (ваш пароль в зашифрованном виде).

Но, получив доступ к файлу config.ini, злоумышленник получит только доступ к хешу пароля с дополнительным ключом шифрования

а соль к этому зашифрованному md5 виду известна:$secret = "sdvNkub7ygBJgKj7".

Брут-форс будет просто реактивным.

freelancer · 31 березня 2016

DoTradePro сказал(а) 31 Мар 2016 - 3:51 PM:

Спасибо, мы попробуем это изменить. Но, получив доступ к файлу config.ini, злоумышленник получит только доступ к хешу пароля с дополнительным ключом шифрования, сам ключ находится в dbmanager.php.

if (md5($api_key.$secret) != $conf['api_key']) {

злоумышлеННик получит доступ к $conf['api_key'], который сравнивается с $api_key, пришедшим в запросе и $secret, указанным в api\DBManager.php

тогда вам нужно $secret генерировать при установке и хранить в базе, а не в файле в виде переменной

DoTradePro · 31 березня 2016

if (md5($api_key.$secret) != $conf['api_key']) {
злоумышлеННик получит доступ к $conf['api_key'], который сравнивается с $api_key, пришедшим в запросе и $secret, указанным в api\DBManager.php
тогда вам нужно $secret генерировать при установке и хранить в базе, а не в файле в виде переменной

тоже к этому пришли, в ближайшее время исправим, еще раз спасибо.

DoTradePro · 1 квітня 2016

Переделали скрипт и сделали запись ключа шифрования и хеша в config.php. Ключ шифрования генерируется автоматически и случайным образом.

Вхід

Мобильное приложение администратора для Opencart

Recommended Posts

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Створити обліковий запис

Вхід

Зараз на сторінці 0 користувачів

Покупцям

Розробникам

Корисна інформація

Останні розширення

Important Information