Yoda Опубликовано: 5 ноября 2016 Поделиться Опубликовано: 5 ноября 2016 (изменено) В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. В связи с этим, по моим данным, около 10-15% популярных шаблонов и содержат в себе потенциальные уязвимости. С теми, у кого у меня есть прямая связь, в частном порядке мы закрываем эти дыры с уведомлением покупателей. Но со многими я просто физически не могу связаться, так как они отказываются идти на контакт. Поэтому давайте сделаем наши магазины безопаснее вместе. Вот очень полезная статья с большим набором заплаток от разного рода попыток взлома сайтов. Она правда для WP, но по сути техники взлома не сильно отличаются. https://perishablepress.com/6g/ Для продвинутых пользователей, там все достаточно ясно-понятно. Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Изменено 5 ноября 2016 пользователем Yoda 3 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
vasilev86 Опубликовано: 5 ноября 2016 Поделиться Опубликовано: 5 ноября 2016 (изменено) Дыры, Дыры, сегодня кто то продавал мою базу :-D https://xxx.ru/?utm_source=xxx.ru-%D0%9F%D0%A0%D0%9E%D0%94%D0%90%D0%96%D0%90-%D0%91%D0%90%D0%97%D0%AB-%D0%A1%D0%90%D0%99%D0%A2%D0%90&utm_term=xxx.ru-%D0%9F%D0%A0%D0%9E%D0%94%D0%90%D0%96%D0%90-%D0%91%D0%90%D0%97%D0%AB-%D0%A1%D0%90%D0%99%D0%A2%D0%90 http://www.google.ru/search?q= ПРОДАМ-БАЗУ-САЙТА-xxxx.ru приплыли, это ппц господа. 8-) Изменено 5 ноября 2016 пользователем vasilev86 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Baco Опубликовано: 5 ноября 2016 Поделиться Опубликовано: 5 ноября 2016 Ещё один "безопасник", меньше говнокода писать и кубить... и модерировать что в магазин ставить, а не шаблоны проверять, нынче бизнес какой ? с3.14здил - заионкубил - продавай... а что внутри ? а какая разница, работает ) p.s. вспомнилось из прошлой жЫзни, когда уважаемый человек вопрос задал: а можно ли сделать SQL inject сквозь real_escape_string ? взломать можно всё, вопрос резона ) 1 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... vasilev86 Опубликовано: 5 ноября 2016 Поделиться Опубликовано: 5 ноября 2016 с3.14здил - заионкубил - продавай... а что внутри ? а какая разница, работает ) :-D Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... ArtemPitov Опубликовано: 5 ноября 2016 Поделиться Опубликовано: 5 ноября 2016 а уязвимость то какая была в шаблонах ? Пошла тенденция брать забугорное и пихать в шаблон без просмотра что там внутри Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Yoda Опубликовано: 6 ноября 2016 Автор Поделиться Опубликовано: 6 ноября 2016 а уязвимость то какая была в шаблонах ? Пошла тенденция брать забугорное и пихать в шаблон без просмотра что там внутри Уязвимости и дополнения, я не озвучиваю, потому что могут полететь головы, и подобная информация не нужна в открытом доступе. Вроде бы актив форума я собрал для выработки решения по вопросу. А вот что с этим делать - так никто и не понимает. Поэтому единственным возможным вариантом развития событий на сегодня, пока что является защита своими силами. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chamaerops Опубликовано: 6 ноября 2016 Поделиться Опубликовано: 6 ноября 2016 (изменено) Вопрос такой - есть ли эти дыры в дефолтном шаблоне? Относится ли данная проблема только к шаблонам или к модулям тоже? Изменено 6 ноября 2016 пользователем chamaerops Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Yoda Опубликовано: 6 ноября 2016 Автор Поделиться Опубликовано: 6 ноября 2016 Вопрос такой - есть ли эти дыры в дефолтном шаблоне? Относится ли данная проблема только к шаблонам или к модулям тоже? 1 - нет 2 - нет информации. 1 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... ArtemPitov Опубликовано: 7 ноября 2016 Поделиться Опубликовано: 7 ноября 2016 Вроде бы актив форума я собрал для выработки решения по вопросу. А вот что с этим делать - так никто и не понимает. Ну тут все просто, писать авторам, если не будут приняты меры - тогда брать "дробовик и срывать бошки" Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 :) Это не только в безопасности проблемы Там в SEO вообще полный 3.14, 3.14, 3.14 А все от того что авторы тем по тупому копируют код "бесплатных" модулей где ошибок просто немеряно К примеру "быстрый просмотр" товаров... Открываем любую тему (да, да ребята - у всех (99%) там одна большая проблема) и что видим... дубли контента продуктов по разным URL, причем у "быстрого просмотра" без canonical понятное дело. Как итог - выпадание страниц из индексов ПС, пессимизация контента и все связанное с этим. Это я только по "быстрому просмотру" прошелся сейчас. А если детально - все гораздо хуже. Вообще авторы тем... что за глупость фаршировать темы "бесплатными" модулями, которые в 90% не нужны а в 99% вредны? Вы не можете сделать, отдельно платную тему (с ценой ниже) и отдельно к ней service pack платный (с набором адаптированных под тему модулей)? Кому надо пусть берут sp, кому не надо чистую тему без говнокода "бесплатных" говноподелок Мухи отдельно, котлеты отдельно Да и вам легче будет темы обновлять! Да и заработаете больше :?И не будет проблем ни с SEO ни с безопасностью Зачем пользователей "принуждать" к проблемам ? Сейчас авторов тем делю на три группы 1. Когда им сообщаешь о проблемах и они со словами благодарности исправляют код (им респект) 2. Когда тебя почти "посылают", как будто ты им в борщ плюнул. (без комментариев) 3. Это когда говорят "спасибо" и ничего не исправляют, а когда напоминаешь - они мотивируют тем, что "тот модуль" не они делали и пиши автору (бред полный :roll: ).. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 Провел эксперимент... правда не на форуме, пожалел авторов. Тем у кого на форуме я обнаруживаю пробои безопасности я отписываюсь авторам. А вот в официальном каталоге дополнений... ... на opencart.com взял самые популярные модули отзывов (с кучей продаж) с загрузкой изображений и ВСЕМ влил php бомбу, без всяких проблем. Ну что еще сказать.. О результатах отписался Yoda Все ссылки на "бомбы" отправил ему Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) Вопрос по безопасности, напрямую не связанный с Опенкарт. Скорее это вопрос по безопасности сервера как такового. Нередко видел (на проектах, доставшихся для доработки), что все папки/файлы имеют права 777. Ну работает ведь магазин. На мой взгляд, при возможности, папок/файлов с правами 777 быть вообще не должно. Достаточно 755 в случае апаче, работающего от имени пользователя. Если вы решили использовать VPS/VDS, то смысла в использовании прав 777 нет. максимум 755. Правильно настроенный новый сервер (VPS/VDS) не требует для работы Опенкарт прав 777. Про общий хостинг речь не идет. Даже если "из коробки" сервер VPS/VDS требует прав 777 для работы Опенкарт, то стоит настроить сервер таким образом чтобы это требование не было актуальным. Но кто придерживается этого правила? И есть ли смысл делать акцент на этом правиле? При общих равных условиях максимальные права 755 всегда делают сервер более безопасным чем использование 777. разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 .... разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Это вопрос с проблемами безопасности гМОДУЛЕЙ и гТЕМ. С opencart все в порядке :) В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 "отключить eval" И у всех перестанет работать их любимый Mega Filter PRO PLUS :ugeek: :-D И другие "любимые" тоже И вы "ведьме" не докажите что eval это плохо Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
vasilev86 Опубликовано: 5 ноября 2016 Поделиться Опубликовано: 5 ноября 2016 с3.14здил - заионкубил - продавай... а что внутри ? а какая разница, работает ) :-D Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
ArtemPitov Опубликовано: 5 ноября 2016 Поделиться Опубликовано: 5 ноября 2016 а уязвимость то какая была в шаблонах ? Пошла тенденция брать забугорное и пихать в шаблон без просмотра что там внутри Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Yoda Опубликовано: 6 ноября 2016 Автор Поделиться Опубликовано: 6 ноября 2016 а уязвимость то какая была в шаблонах ? Пошла тенденция брать забугорное и пихать в шаблон без просмотра что там внутри Уязвимости и дополнения, я не озвучиваю, потому что могут полететь головы, и подобная информация не нужна в открытом доступе. Вроде бы актив форума я собрал для выработки решения по вопросу. А вот что с этим делать - так никто и не понимает. Поэтому единственным возможным вариантом развития событий на сегодня, пока что является защита своими силами. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... chamaerops Опубликовано: 6 ноября 2016 Поделиться Опубликовано: 6 ноября 2016 (изменено) Вопрос такой - есть ли эти дыры в дефолтном шаблоне? Относится ли данная проблема только к шаблонам или к модулям тоже? Изменено 6 ноября 2016 пользователем chamaerops Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Yoda Опубликовано: 6 ноября 2016 Автор Поделиться Опубликовано: 6 ноября 2016 Вопрос такой - есть ли эти дыры в дефолтном шаблоне? Относится ли данная проблема только к шаблонам или к модулям тоже? 1 - нет 2 - нет информации. 1 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... ArtemPitov Опубликовано: 7 ноября 2016 Поделиться Опубликовано: 7 ноября 2016 Вроде бы актив форума я собрал для выработки решения по вопросу. А вот что с этим делать - так никто и не понимает. Ну тут все просто, писать авторам, если не будут приняты меры - тогда брать "дробовик и срывать бошки" Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 :) Это не только в безопасности проблемы Там в SEO вообще полный 3.14, 3.14, 3.14 А все от того что авторы тем по тупому копируют код "бесплатных" модулей где ошибок просто немеряно К примеру "быстрый просмотр" товаров... Открываем любую тему (да, да ребята - у всех (99%) там одна большая проблема) и что видим... дубли контента продуктов по разным URL, причем у "быстрого просмотра" без canonical понятное дело. Как итог - выпадание страниц из индексов ПС, пессимизация контента и все связанное с этим. Это я только по "быстрому просмотру" прошелся сейчас. А если детально - все гораздо хуже. Вообще авторы тем... что за глупость фаршировать темы "бесплатными" модулями, которые в 90% не нужны а в 99% вредны? Вы не можете сделать, отдельно платную тему (с ценой ниже) и отдельно к ней service pack платный (с набором адаптированных под тему модулей)? Кому надо пусть берут sp, кому не надо чистую тему без говнокода "бесплатных" говноподелок Мухи отдельно, котлеты отдельно Да и вам легче будет темы обновлять! Да и заработаете больше :?И не будет проблем ни с SEO ни с безопасностью Зачем пользователей "принуждать" к проблемам ? Сейчас авторов тем делю на три группы 1. Когда им сообщаешь о проблемах и они со словами благодарности исправляют код (им респект) 2. Когда тебя почти "посылают", как будто ты им в борщ плюнул. (без комментариев) 3. Это когда говорят "спасибо" и ничего не исправляют, а когда напоминаешь - они мотивируют тем, что "тот модуль" не они делали и пиши автору (бред полный :roll: ).. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 Провел эксперимент... правда не на форуме, пожалел авторов. Тем у кого на форуме я обнаруживаю пробои безопасности я отписываюсь авторам. А вот в официальном каталоге дополнений... ... на opencart.com взял самые популярные модули отзывов (с кучей продаж) с загрузкой изображений и ВСЕМ влил php бомбу, без всяких проблем. Ну что еще сказать.. О результатах отписался Yoda Все ссылки на "бомбы" отправил ему Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) Вопрос по безопасности, напрямую не связанный с Опенкарт. Скорее это вопрос по безопасности сервера как такового. Нередко видел (на проектах, доставшихся для доработки), что все папки/файлы имеют права 777. Ну работает ведь магазин. На мой взгляд, при возможности, папок/файлов с правами 777 быть вообще не должно. Достаточно 755 в случае апаче, работающего от имени пользователя. Если вы решили использовать VPS/VDS, то смысла в использовании прав 777 нет. максимум 755. Правильно настроенный новый сервер (VPS/VDS) не требует для работы Опенкарт прав 777. Про общий хостинг речь не идет. Даже если "из коробки" сервер VPS/VDS требует прав 777 для работы Опенкарт, то стоит настроить сервер таким образом чтобы это требование не было актуальным. Но кто придерживается этого правила? И есть ли смысл делать акцент на этом правиле? При общих равных условиях максимальные права 755 всегда делают сервер более безопасным чем использование 777. разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 .... разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Это вопрос с проблемами безопасности гМОДУЛЕЙ и гТЕМ. С opencart все в порядке :) В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 "отключить eval" И у всех перестанет работать их любимый Mega Filter PRO PLUS :ugeek: :-D И другие "любимые" тоже И вы "ведьме" не докажите что eval это плохо Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
Yoda Опубликовано: 6 ноября 2016 Автор Поделиться Опубликовано: 6 ноября 2016 а уязвимость то какая была в шаблонах ? Пошла тенденция брать забугорное и пихать в шаблон без просмотра что там внутри Уязвимости и дополнения, я не озвучиваю, потому что могут полететь головы, и подобная информация не нужна в открытом доступе. Вроде бы актив форума я собрал для выработки решения по вопросу. А вот что с этим делать - так никто и не понимает. Поэтому единственным возможным вариантом развития событий на сегодня, пока что является защита своими силами. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
chamaerops Опубликовано: 6 ноября 2016 Поделиться Опубликовано: 6 ноября 2016 (изменено) Вопрос такой - есть ли эти дыры в дефолтном шаблоне? Относится ли данная проблема только к шаблонам или к модулям тоже? Изменено 6 ноября 2016 пользователем chamaerops Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Yoda Опубликовано: 6 ноября 2016 Автор Поделиться Опубликовано: 6 ноября 2016 Вопрос такой - есть ли эти дыры в дефолтном шаблоне? Относится ли данная проблема только к шаблонам или к модулям тоже? 1 - нет 2 - нет информации. 1 Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
ArtemPitov Опубликовано: 7 ноября 2016 Поделиться Опубликовано: 7 ноября 2016 Вроде бы актив форума я собрал для выработки решения по вопросу. А вот что с этим делать - так никто и не понимает. Ну тут все просто, писать авторам, если не будут приняты меры - тогда брать "дробовик и срывать бошки" Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 :) Это не только в безопасности проблемы Там в SEO вообще полный 3.14, 3.14, 3.14 А все от того что авторы тем по тупому копируют код "бесплатных" модулей где ошибок просто немеряно К примеру "быстрый просмотр" товаров... Открываем любую тему (да, да ребята - у всех (99%) там одна большая проблема) и что видим... дубли контента продуктов по разным URL, причем у "быстрого просмотра" без canonical понятное дело. Как итог - выпадание страниц из индексов ПС, пессимизация контента и все связанное с этим. Это я только по "быстрому просмотру" прошелся сейчас. А если детально - все гораздо хуже. Вообще авторы тем... что за глупость фаршировать темы "бесплатными" модулями, которые в 90% не нужны а в 99% вредны? Вы не можете сделать, отдельно платную тему (с ценой ниже) и отдельно к ней service pack платный (с набором адаптированных под тему модулей)? Кому надо пусть берут sp, кому не надо чистую тему без говнокода "бесплатных" говноподелок Мухи отдельно, котлеты отдельно Да и вам легче будет темы обновлять! Да и заработаете больше :?И не будет проблем ни с SEO ни с безопасностью Зачем пользователей "принуждать" к проблемам ? Сейчас авторов тем делю на три группы 1. Когда им сообщаешь о проблемах и они со словами благодарности исправляют код (им респект) 2. Когда тебя почти "посылают", как будто ты им в борщ плюнул. (без комментариев) 3. Это когда говорят "спасибо" и ничего не исправляют, а когда напоминаешь - они мотивируют тем, что "тот модуль" не они делали и пиши автору (бред полный :roll: ).. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 Провел эксперимент... правда не на форуме, пожалел авторов. Тем у кого на форуме я обнаруживаю пробои безопасности я отписываюсь авторам. А вот в официальном каталоге дополнений... ... на opencart.com взял самые популярные модули отзывов (с кучей продаж) с загрузкой изображений и ВСЕМ влил php бомбу, без всяких проблем. Ну что еще сказать.. О результатах отписался Yoda Все ссылки на "бомбы" отправил ему Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) Вопрос по безопасности, напрямую не связанный с Опенкарт. Скорее это вопрос по безопасности сервера как такового. Нередко видел (на проектах, доставшихся для доработки), что все папки/файлы имеют права 777. Ну работает ведь магазин. На мой взгляд, при возможности, папок/файлов с правами 777 быть вообще не должно. Достаточно 755 в случае апаче, работающего от имени пользователя. Если вы решили использовать VPS/VDS, то смысла в использовании прав 777 нет. максимум 755. Правильно настроенный новый сервер (VPS/VDS) не требует для работы Опенкарт прав 777. Про общий хостинг речь не идет. Даже если "из коробки" сервер VPS/VDS требует прав 777 для работы Опенкарт, то стоит настроить сервер таким образом чтобы это требование не было актуальным. Но кто придерживается этого правила? И есть ли смысл делать акцент на этом правиле? При общих равных условиях максимальные права 755 всегда делают сервер более безопасным чем использование 777. разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 .... разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Это вопрос с проблемами безопасности гМОДУЛЕЙ и гТЕМ. С opencart все в порядке :) В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 "отключить eval" И у всех перестанет работать их любимый Mega Filter PRO PLUS :ugeek: :-D И другие "любимые" тоже И вы "ведьме" не докажите что eval это плохо Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 :) Это не только в безопасности проблемы Там в SEO вообще полный 3.14, 3.14, 3.14 А все от того что авторы тем по тупому копируют код "бесплатных" модулей где ошибок просто немеряно К примеру "быстрый просмотр" товаров... Открываем любую тему (да, да ребята - у всех (99%) там одна большая проблема) и что видим... дубли контента продуктов по разным URL, причем у "быстрого просмотра" без canonical понятное дело. Как итог - выпадание страниц из индексов ПС, пессимизация контента и все связанное с этим. Это я только по "быстрому просмотру" прошелся сейчас. А если детально - все гораздо хуже. Вообще авторы тем... что за глупость фаршировать темы "бесплатными" модулями, которые в 90% не нужны а в 99% вредны? Вы не можете сделать, отдельно платную тему (с ценой ниже) и отдельно к ней service pack платный (с набором адаптированных под тему модулей)? Кому надо пусть берут sp, кому не надо чистую тему без говнокода "бесплатных" говноподелок Мухи отдельно, котлеты отдельно Да и вам легче будет темы обновлять! Да и заработаете больше :?И не будет проблем ни с SEO ни с безопасностью Зачем пользователей "принуждать" к проблемам ? Сейчас авторов тем делю на три группы 1. Когда им сообщаешь о проблемах и они со словами благодарности исправляют код (им респект) 2. Когда тебя почти "посылают", как будто ты им в борщ плюнул. (без комментариев) 3. Это когда говорят "спасибо" и ничего не исправляют, а когда напоминаешь - они мотивируют тем, что "тот модуль" не они делали и пиши автору (бред полный :roll: ).. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 Провел эксперимент... правда не на форуме, пожалел авторов. Тем у кого на форуме я обнаруживаю пробои безопасности я отписываюсь авторам. А вот в официальном каталоге дополнений... ... на opencart.com взял самые популярные модули отзывов (с кучей продаж) с загрузкой изображений и ВСЕМ влил php бомбу, без всяких проблем. Ну что еще сказать.. О результатах отписался Yoda Все ссылки на "бомбы" отправил ему Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) Вопрос по безопасности, напрямую не связанный с Опенкарт. Скорее это вопрос по безопасности сервера как такового. Нередко видел (на проектах, доставшихся для доработки), что все папки/файлы имеют права 777. Ну работает ведь магазин. На мой взгляд, при возможности, папок/файлов с правами 777 быть вообще не должно. Достаточно 755 в случае апаче, работающего от имени пользователя. Если вы решили использовать VPS/VDS, то смысла в использовании прав 777 нет. максимум 755. Правильно настроенный новый сервер (VPS/VDS) не требует для работы Опенкарт прав 777. Про общий хостинг речь не идет. Даже если "из коробки" сервер VPS/VDS требует прав 777 для работы Опенкарт, то стоит настроить сервер таким образом чтобы это требование не было актуальным. Но кто придерживается этого правила? И есть ли смысл делать акцент на этом правиле? При общих равных условиях максимальные права 755 всегда делают сервер более безопасным чем использование 777. разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 .... разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Это вопрос с проблемами безопасности гМОДУЛЕЙ и гТЕМ. С opencart все в порядке :) В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 "отключить eval" И у всех перестанет работать их любимый Mega Filter PRO PLUS :ugeek: :-D И другие "любимые" тоже И вы "ведьме" не докажите что eval это плохо Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 Провел эксперимент... правда не на форуме, пожалел авторов. Тем у кого на форуме я обнаруживаю пробои безопасности я отписываюсь авторам. А вот в официальном каталоге дополнений... ... на opencart.com взял самые популярные модули отзывов (с кучей продаж) с загрузкой изображений и ВСЕМ влил php бомбу, без всяких проблем. Ну что еще сказать.. О результатах отписался Yoda Все ссылки на "бомбы" отправил ему Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) Вопрос по безопасности, напрямую не связанный с Опенкарт. Скорее это вопрос по безопасности сервера как такового. Нередко видел (на проектах, доставшихся для доработки), что все папки/файлы имеют права 777. Ну работает ведь магазин. На мой взгляд, при возможности, папок/файлов с правами 777 быть вообще не должно. Достаточно 755 в случае апаче, работающего от имени пользователя. Если вы решили использовать VPS/VDS, то смысла в использовании прав 777 нет. максимум 755. Правильно настроенный новый сервер (VPS/VDS) не требует для работы Опенкарт прав 777. Про общий хостинг речь не идет. Даже если "из коробки" сервер VPS/VDS требует прав 777 для работы Опенкарт, то стоит настроить сервер таким образом чтобы это требование не было актуальным. Но кто придерживается этого правила? И есть ли смысл делать акцент на этом правиле? При общих равных условиях максимальные права 755 всегда делают сервер более безопасным чем использование 777. разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 .... разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Это вопрос с проблемами безопасности гМОДУЛЕЙ и гТЕМ. С opencart все в порядке :) В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 "отключить eval" И у всех перестанет работать их любимый Mega Filter PRO PLUS :ugeek: :-D И другие "любимые" тоже И вы "ведьме" не докажите что eval это плохо Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) Вопрос по безопасности, напрямую не связанный с Опенкарт. Скорее это вопрос по безопасности сервера как такового. Нередко видел (на проектах, доставшихся для доработки), что все папки/файлы имеют права 777. Ну работает ведь магазин. На мой взгляд, при возможности, папок/файлов с правами 777 быть вообще не должно. Достаточно 755 в случае апаче, работающего от имени пользователя. Если вы решили использовать VPS/VDS, то смысла в использовании прав 777 нет. максимум 755. Правильно настроенный новый сервер (VPS/VDS) не требует для работы Опенкарт прав 777. Про общий хостинг речь не идет. Даже если "из коробки" сервер VPS/VDS требует прав 777 для работы Опенкарт, то стоит настроить сервер таким образом чтобы это требование не было актуальным. Но кто придерживается этого правила? И есть ли смысл делать акцент на этом правиле? При общих равных условиях максимальные права 755 всегда делают сервер более безопасным чем использование 777. разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 .... разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Это вопрос с проблемами безопасности гМОДУЛЕЙ и гТЕМ. С opencart все в порядке :) В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 "отключить eval" И у всех перестанет работать их любимый Mega Filter PRO PLUS :ugeek: :-D И другие "любимые" тоже И вы "ведьме" не докажите что eval это плохо Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 .... разве я не прав? насколько существенен данный фактор по вашему мнению? в общем, это должно хорошо работать в совокупности с правилами вида: "отключить вывод всех ошибок", "отключить phpinfo", "отключить eval" и т. п. Это вопрос с проблемами безопасности гМОДУЛЕЙ и гТЕМ. С opencart все в порядке :) В последнее время, многие авторы шаблонов, начали поголовно практиковать пагубную технику встраивания целых кусков чужого кода в свои шаблоны, без разбора полетов. Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 "отключить eval" И у всех перестанет работать их любимый Mega Filter PRO PLUS :ugeek: :-D И другие "любимые" тоже И вы "ведьме" не докажите что eval это плохо Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 "отключить eval" И у всех перестанет работать их любимый Mega Filter PRO PLUS :ugeek: :-D И другие "любимые" тоже И вы "ведьме" не докажите что eval это плохо Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ashap тоже eval использует Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha × Уже зарегистрированы? Войти Регистрация Раздел покупок Назад Приобретенные дополнения Ваши счета Список желаний Альтернативные контакты Форум Новости ocStore Назад Официальный сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Скачать ocStore Документация История версий ocStore Блоги Модули Шаблоны Назад Бесплатные шаблоны Платные шаблоны Где покупать модули? Услуги FAQ OpenCart.Pro Назад Демо Купить Сравнение × Создать... Важная информация На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности. Я принимаю
markimax Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 ...тоже eval использует Ну, он то может изменить код быстро. Не думаю что это проблема. А вот "ведьме" не докажешь. Она упрямая :ugeek: Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення Deals – адаптивный универсальный шаблон Автор: octemplates Динамичесткая инфострока в шапке + позиция в макете для opencart\ocstore 2x, 3x Автор: Lito911 Единицы Измерения Товара Автор: RoS Opencart Product Search by Image Автор: slavoglo Простой массовый редактор цен. Fast Price Edit Автор: Sha
sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 не, ну это пипец какой то.... то заионкубируют лажу полную. то eval без всякой на то необходимости... вообще паранойя по защите своих модулей часто зашкаливает. Порой складывается впечатление, что главная задача модуля - это не дать себя прочитать. А безопасность и совместимость идет на последнем месте. Недавно столкнулся с презабавнейшей ситуацией с двумя закодированными модулями. Автор каждого модуля выдвигал условия его использования прямопротивоположные и взаимоисключающие. Т. е. одновременная их работа на локальной машине вообще была невозможна. eval - это ведь дыра немеряных размеров. Вот зачем намеренно ухудшать безопасность? Чтобы защитить свой модуль, но при этом понизить защищенность сайта, читай - бизнеса заказчика? А вот "ведьме" не докажешь. А это кто? Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу. Последние темы Последние дополнения Последние новости Вся активность Главная Поддержка и ответы на вопросы Вопросы безопасности Критичное устранение уязвимостей магазинов
jvz Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 А это кто?Авторша Mega Filter Pro Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0 Перейти к списку тем Похожие публикации мы рекомендуем [Поддержка] Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 6 ответов 1 497 просмотров OCdevWizard 14 июля 2023 мы рекомендуем Дополнительная защита админки Автор: OCdevWizard, 11 апреля 2020 ocdevwizard admin security (и ещё 16) Теги: ocdevwizard admin security защита защита админки капча captcha admin panel admin admin panel безопасность защищенная админка админка пароль адмикна пароль от админки password взлом защита от взлома как защитить админку пароль 0 комментариев 4 677 просмотров OCdevWizard 11 апреля 2020 [Поддержка] Двух факторная Google авторизация для админ панели Автор: mirek, 2 апреля 2018 защита админка (и ещё 4) Теги: защита админка двухфакторная авторизация google безопасность взлом 0 ответов 1 499 просмотров mirek 9 мая 2018 [Поддержка] Защита от вирусов и хакеров 1 2 3 4 Автор: ArtemPitov, 14 января 2018 безопасность защищенная админка (и ещё 3) Теги: безопасность защищенная админка админка взлом пароль 94 ответа 12 090 просмотров nospam09 12 февраля 2022 [Поддержка] Двух факторная Google авторизация для покупателей Автор: mirek, 7 апреля 2018 защита покупатели (и ещё 4) Теги: защита покупатели двухфакторная авторизация google безопасность взлом 0 ответов 1 045 просмотров mirek 9 мая 2018 Сейчас на странице 0 пользователей Нет пользователей, просматривающих эту страницу.
HyperLabTeam Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 короч народзапасаемся вазелиномведрамиавторша?я думал это оно... Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
sitecreator Опубликовано: 8 ноября 2016 Поделиться Опубликовано: 8 ноября 2016 (изменено) интересно то, что на 2.* безопасность оказывается ниже чем на 1.5 благодаря "защищенным" модулям? Если раньше авторы модулей для 1.5 не использовали ни eval, ни ioncube, то эти же самые авторы для 2.* используют эту самую гадость, причем ухитряются еще и, нередко, комбинировано (eval + ioncube) это делать.... Изменено 8 ноября 2016 пользователем sitecreator Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... 2 недели спустя... RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться... Создайте аккаунт или войдите в него для комментирования Вы должны быть пользователем, чтобы оставить комментарий Создать аккаунт Зарегистрируйтесь для получения аккаунта. Это просто! Зарегистрировать аккаунт Войти Уже зарегистрированы? Войдите здесь. Войти сейчас Поделиться Больше способов поделиться... Подписчики 0
RespectS Опубликовано: 18 ноября 2016 Поделиться Опубликовано: 18 ноября 2016 Поэтому давайте сделаем наши магазины безопаснее вместе. ... ... Для новичков, я бы рекомендовал добавить в .htaccess хотя бы это: <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} (eval\() [NC,OR] RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C)(.*)script(.*)(>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (\\|\.\.\.|\.\./|~|`|<|>|\|) [NC,OR] RewriteCond %{QUERY_STRING} (boot\.ini|etc/passwd|self/environ) [NC,OR] RewriteCond %{QUERY_STRING} (\'|\")(.*)(drop|insert|md5|select|union) [NC] RewriteRule .* - [F] </IfModule> Встраивать эту конструкцию необходимо после строки RewriteEngine On После добавления, рекомендую запустить Xenu's И проверить доступность всех ссылок вашего магазина. Если появятся страницы с кодом 404 или 500, проведите анализ и удалите исключения из списка, которые мешают нормальному отображению страниц. Спасибо! Ссылка на комментарий Поделиться на других сайтах Больше способов поделиться...
Рекомендованные сообщения