Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Мобильное приложение администратора для Opencart


DoTradePro

Recommended Posts

Всем доброго времени суток! Хочу представить мобильное приложение для магазина Opencart. 

 

Программа бесплатная, скачать ее можно по адресу https://play.google.com/store/apps/details?id=pro.dotrade.easymaneger - Андройд

 

Для iOS приложение находится на проверке, ссылка будет позже.

 

Возможности:

- Добавление нескольких магазинов

- Поддержка следующих cms: JoomShopping, VirtueMart, Prestashop, Opencart, oSCommerce, X-Cart

- Просмотр и поиск заказов

- Просмотр и поиск товаров

- Просмотр клиентов

В ближайшее время добавятся пуш уведомления для новых заказов и статистика.

После установки приложения необходимо скачать скрипт по адресу http://manager.dotrade.pro/api_v1.zip и положить его в корень сайта . Без него работа приложения невозможна. Далее необходимо перейти по адресу http://ваш сайт/api/install.php, ввести ваш собственный пароль для доступа к api и отравить форму, затем в папке должен появится файл config.ini где будет строка 

api_key = 098f6bcd4621d373cade4e832627b4f6 (ваш пароль в зашифрованном виде). 

 

В мобильное устройство нужно вводить ваш не зашифрованный пароль.

 

Необязательно! Но для уникального шифрования пароля в папке api желательно изменить файл DBManager.php. В первой строке $secret = "sdvNkub7ygBJgKj7"; - записать свое секретное слово.

 

listclient.pngorderlist.png

 

Надіслати
Поділитися на інших сайтах


Как-то подозрения у меня вызывают приложения, сайт которых заполнен lorem ipsum, а телефон из десяти двоек. И при этом им надо всего лишь рассказать все пароли.

Змінено користувачем Shureg
Надіслати
Поділитися на інших сайтах


Как-то подозрения у меня вызывают приложения, сайт которых заполнен lorem ipsum, а телефон из десяти двоек. И при этом им надо всего лишь рассказать все пароли.

 

Да он просто в стадии наполнения. Пароли вы нам не сообщаете, они исключительно ваши, потом еще и зашифрованы. Какого-либо доступа к данным на вашем сайте мы не имеем.

Змінено користувачем DoTradePro
Надіслати
Поділитися на інших сайтах


api\.htaccess

<Files config.ini>
order allow,deny 
deny from all
</Files>

я думаю вот это правило может не всегда сработать и тогда любой получит доступ к магазину

Спасибо, мы попробуем это изменить. Но, получив доступ к файлу config.ini, злоумышленник получит только доступ к хешу пароля с дополнительным ключом шифрования, сам ключ находится в dbmanager.php. 

Надіслати
Поділитися на інших сайтах


Спасибо, мы попробуем это изменить. Но, получив доступ к файлу config.ini, злоумышленник получит только доступ к хешу пароля с дополнительным ключом шифрования, сам ключ находится в dbmanager.php. 

Ага. И доступ к нему получать не надо, он и так широко известен. Поскольку хорошо, если один из десяти юзеров будет его менять. Даже если прочитает инструкцию - написано же, что необязательно.

Надіслати
Поділитися на інших сайтах


Ага. И доступ к нему получать не надо, он и так широко известен. Поскольку хорошо, если один из десяти юзеров будет его менять. Даже если прочитает инструкцию - написано же, что необязательно.

А вы прочитали инструкцию, что после запуска install.php вы вводите свой пароль, который никому неизвестен? А то, что необязательно, так это смена ключа для шифрования и это разные вещи.

Надіслати
Поділитися на інших сайтах


config.ini где будет строка 

api_key = 098f6bcd4621d373cade4e832627b4f6 (ваш пароль в зашифрованном виде).

 

Но, получив доступ к файлу config.ini, злоумышленник получит только доступ к хешу пароля с дополнительным ключом шифрования

 

 

а соль к этому зашифрованному md5 виду известна:$secret = "sdvNkub7ygBJgKj7".
Брут-форс будет просто реактивным.
Надіслати
Поділитися на інших сайтах


DoTradePro сказал(а) 31 Мар 2016 - 3:51 PM:

Спасибо, мы попробуем это изменить. Но, получив доступ к файлу config.ini, злоумышленник получит только доступ к хешу пароля с дополнительным ключом шифрования, сам ключ находится в dbmanager.php.

if (md5($api_key.$secret) != $conf['api_key']) {
злоумышлеННик получит доступ к $conf['api_key'], который сравнивается с $api_key, пришедшим в запросе и $secret, указанным в api\DBManager.php

тогда вам нужно $secret генерировать при установке и хранить в базе, а не в файле в виде переменной

Надіслати
Поділитися на інших сайтах

if (md5($api_key.$secret) != $conf['api_key']) {
злоумышлеННик получит доступ к $conf['api_key'], который сравнивается с $api_key, пришедшим в запросе и $secret, указанным в api\DBManager.php

тогда вам нужно $secret генерировать при установке и хранить в базе, а не в файле в виде переменной

 

тоже к этому пришли, в ближайшее время исправим, еще раз спасибо.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.