Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Multimerch исправление уязвимостей


Recommended Posts

В связи с последними событиями, прошу помощи в устранении уязвимостей Multimerch.

На сколько я понял, недостаточная фильтрация загрузки изображений. Еще что есть? Если тема не для публичного обсуждения, напишите в личку. Нужно чтобы создать новый проект, без дыр.

 

Спасибо.

Надіслати
Поділитися на інших сайтах

В связи с последними событиями, прошу помощи в устранении уязвимостей Multimerch.

На сколько я понял, недостаточная фильтрация загрузки изображений. Еще что есть? Если тема не для публичного обсуждения, напишите в личку. Нужно чтобы создать новый проект, без дыр.

 

Спасибо.

Смотрите мою ветку комментариев, было обсуждения с Марком

Вывод: не давать грузить изображения на сервер, только со стороннего сервера подгружать изображение 

Змінено користувачем ArtenPitov
Надіслати
Поділитися на інших сайтах

Надіслати
Поділитися на інших сайтах

Ага  :)

 

Безопасной загрузки файлов нет. Даже если вы сделате безопасный код, могут поломать через дыры хостера. Т.е. только вы разрешаете пользователям что то загружать на сервер - будьте уверены это будет первым вектором атаки хакера.
Надіслати
Поділитися на інших сайтах

Я не давно делал один проект на мультимерч, в результате, чем больше с ним работал, тем больше понимал какое это г.. Там просто ужасный код, какая-то своя уродливая логика, его делал видимо человек, который вообще раньше не работал с опенкарт и все делал по-своему, в результате при любой мелочи, что-то добавить или переделать или подружить что-то с опеканкарт или каким-то модулем опенкарт, превращается в сущий ад.. 

и в результате  мы решили полностью все переписать, чем использовать этот мультимерч.. То, что сделано в мультимерч можно сделать намного проще и легче и код будет понятным и работать с ним будет намного приятнее. 

 

Так, просто мысли вслух, делюсь своим немаленьким опытом работы с мультимерч.. 

  • +1 1
Надіслати
Поділитися на інших сайтах

загружать изображения не в файловую систему, а в базу недостаточно?

Почти достаточно, не считая того что база разбухнет до немыслимых пределов. :)

Да плюс разные варианты ресайза ... не забываем что изображение в БД занимает места как минимум в три раза больше

Надіслати
Поділитися на інших сайтах

один единственный безопасный вариант - это отделенный сервер именно для изображений 

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.