Truth_Explorer Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Здравствуйте, друзья. Сегодня я расскажу о том, как на 99,9% защитить opencart. За 3 года пользования опенкарт я провел ряд исследований. Последний год я просил своих коллег из Канады, Франции и Китая взломать мой тестовый сайт. Результат - ноль. Итак. Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно. На моем сайте стоит 2 защиты: 1) на стороне сервера 2) программно. Про первую часть я не буду говорить, так как это само собой разумеющееся: установить пароль на директорию через htpasswd. А вот вторая часть интереснее. Приступим, всего 2 шага. В директории админ в файле login.tpl в самом начале прописываем: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> В конце всего файла закрываем: <?php } ?> Всё. Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения. У меня например на сайте так: /admin?djghjcbynthytn=jndtnvfufpby Сложно? - нет. Потому что мои значения этой абрыкадабры равны осмысленным значениям, только на латинице: вопросинтернет=ответмагазин. И ни одна сволочь не сможет пробраться к вам, не зная этих параметров. И не забывайте, всё же, об элементарных правилах безопасности. Как минимум проверку на стороне сервера, где тоже нужна будет авторизация (для новичков - на хостинге в админ-панеле легко настраивается). Благодарю за внимание. 3 Надіслати Поділитися на інших сайтах More sharing options...
Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 Ну а чтобы господам взламывателям было веселее - я создал administrator.php , при это прописал его в robots.txt (они же любят поглазеть туда). А в этом "админском файле" я прописал клон административной части входа, только просто на html... при этом при попытке входа он отсылает на http://natribu.org/. Удачи. Если будут вопросы или комментарии - буду рад ответить. 2 Надіслати Поділитися на інших сайтах More sharing options...
jvz Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно.почему? код во view - это круто Надіслати Поділитися на інших сайтах More sharing options... druzhkov Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 В директории админ в файле login.tpl в самом начале прописываем: ... Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения. В принципе, решение нормальное, но имеет смысл развивать дальше. В данный момент это выглядит так: поставлена бронированная дверь (вход в админку), но окна и стены дома (весь остальной код) оставлены как есть. Лучше, полагаю, реализовывать подобное прямо в index.php. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Ну а чтобы господам взламывателям было веселее - я создал administrator.php , при это прописал его в robots.txt (они же любят поглазеть туда). Может, какую-то совсем школоту вы так и обманите, но ОК легко опознать и без админки. Надіслати Поділитися на інших сайтах More sharing options... Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 почему? код во view - это круто Конечно во view - ведь любой сайт мониторится на систему управления в два счета. Зная двиг - будешь знать как к нему подойти. Надіслати Поділитися на інших сайтах More sharing options... Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 В принципе, решение нормальное, но имеет смысл развивать дальше. В данный момент это выглядит так: поставлена бронированная дверь (вход в админку), но окна и стены дома (весь остальной код) оставлены как есть. Лучше, полагаю, реализовывать подобное прямо в index.php. Безусловно, Вы правы. Я сейчас не рассматривал вопросы прямых запросов в "дыры", которые есть в опенкарт. Я лишь показал сущность админской части. Надіслати Поділитися на інших сайтах More sharing options... Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 Может, какую-то совсем школоту вы так и обманите, но ОК легко опознать и без админки. Вы правы. Про админ.пхп - это просто бравада, не стоит на этом заострять внимание. Мне просто захотелось эту школоту послать по адресу - никаким боком, конечно же, это не влияет на защиту в целом. Надіслати Поділитися на інших сайтах More sharing options... Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 почему? код во view - это круто мы сейчас говорим конкретно про сайт.ру/админ/ И это решение - да, полноценное. Надіслати Поділитися на інших сайтах More sharing options... shoputils Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 $_GET, $_COOKIE, header() - нельзя так. Надіслати Поділитися на інших сайтах More sharing options... jvz Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 $_GET, $_COOKIE, header() - нельзя так.я об этом же Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Конечно во view Это надо делать в контроллере. Ну, и как намекают выше - у ОК есть обёртки над суперглобальными переменными (в которых, кстати, дополнительная фильтрация) и собственный метод в Response для установки заголовков. 1 Надіслати Поділитися на інших сайтах More sharing options... 1 month later... TrueLog Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 В 12.12.2016 в 09:21, jvz сказал: В 12.12.2016 в 08:55, shoputils сказал: $_GET, $_COOKIE, header() - нельзя так. я об этом же Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 3 минуты назад, TrueLog сказал: Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Потому что нужно экранировать все что приходит в GET POST, потому что это сделано уже за вас на уровне движка, потому что надо использовать системные методы для обработки входящих данных, а не писать костыли, потому что согласно паттерну MVC, использовать любую бизнес-логику в представлении нельзя. Потому что прежде чем постить подобные советы - надо пойти и немного поучиться! 4 Надіслати Поділитися на інших сайтах More sharing options... 2 years later... gavriem Опубліковано: 5 листопада 2019 Share Опубліковано: 5 листопада 2019 не проще в .htaccess перенести админку RewriteCond %{HTTP_REFERER} !http://site/admin/ RewriteCond %{QUERY_STRING} !^123456789 RewriteRule ^.*admin/? /not_found [R,L] выйдет http://site/admin/?123456789 Надіслати Поділитися на інших сайтах More sharing options... 2 months later... vyacheslav22 Опубліковано: 7 січня 2020 Share Опубліковано: 7 січня 2020 В 12.12.2016 в 04:12, Truth_Explorer сказал: Здравствуйте, друзья. Сегодня я расскажу о том, как на 99,9% защитить opencart. За 3 года пользования опенкарт я провел ряд исследований. Последний год я просил своих коллег из Канады, Франции и Китая взломать мой тестовый сайт. Результат - ноль. Итак. Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно. На моем сайте стоит 2 защиты: 1) на стороне сервера 2) программно. Про первую часть я не буду говорить, так как это само собой разумеющееся: установить пароль на директорию через htpasswd. А вот вторая часть интереснее. Приступим, всего 2 шага. В директории админ в файле login.tpl в самом начале прописываем: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> В конце всего файла закрываем: <?php } ?> Всё. Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения. У меня например на сайте так: /admin?djghjcbynthytn=jndtnvfufpby Сложно? - нет. Потому что мои значения этой абрыкадабры равны осмысленным значениям, только на латинице: вопросинтернет=ответмагазин. И ни одна сволочь не сможет пробраться к вам, не зная этих параметров. И не забывайте, всё же, об элементарных правилах безопасности. Как минимум проверку на стороне сервера, где тоже нужна будет авторизация (для новичков - на хостинге в админ-панеле легко настраивается). Благодарю за внимание. Пробовал прописать на опенкарт 3, но после входа в админку, экран полностью белый. Можете что то посоветовать в этом случае? Спасибо! Надіслати Поділитися на інших сайтах More sharing options... 7 months later... baxabit Опубліковано: 10 серпня 2020 Share Опубліковано: 10 серпня 2020 Для тройки: менять в контроллере, т.к. в твиге пхп не робит Надіслати Поділитися на інших сайтах More sharing options... 3 months later... verbram Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 Для третей версии необходимо провести следующие мероприятия Ниже указанный текст необходимо добавить в начало файла по адресу /admin/controller/common/login.php <?php if (isset($_GET['10'])) { $seckey = $_GET['10']; setcookie ("10", $_GET['10']); } else if (isset($_COOKIE['10'])) { $seckey = $_COOKIE['10']; } else { $seckey = ''; } if ($seckey != '1019') { header("HTTP/1.0 404 Not Found"); exit; } else { ?> <?php } ?> Админка закрыта возможно попасть только через эту ссылкуhttps://вашьсайт.ru/admin/?10=1019 Соответственно можно менять переменные "10" и "1019" на любые ваши - делать лучше раз в месяц, ВАЖНО!!!! внесение изменений в login.php должно проходить при открытой панели администратора для того чтобы можно было очистить кеш во вкладке модификаторов, в противном случае будет ошибка и белый экран Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Друзья помните для опытного специалиста все эти танцы с бубном всего на 20% обезопасят ваш ресурс, в опене много дыр:) и вам за безплатно никто не расскажет как их закрыть:) в каждой версии разные. Для человека который в начале форума писал про то, что он обезопасил сайт выше указанным способом, бро кидай ссылку на сайт вынесу твой ресурс за две недели:) Стоимость теста ресурса 500$, полная безопасность как обычно 1000$:)) PS: Изучайте свои движки, правильно настроенный опен это мега зверь. Изучайте внимательно мануал к движку и изменения в нем Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 И откуда вы, такие специалисты тупорылые, лезете-то... 46 минут назад, verbram сказал: И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Какие, к черту, статьи? Вордпресса начитался, гуру стал? Права была лиса Алиса. 2 Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: бро кидай ссылку на сайт вынесу твой ресурс за две недели:) тестовый подойдет? Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 (змінено) 34 минуты назад, chukcha сказал: тестовый подойдет? Так он же "за безплатно" не работает, 500 бексов хочет. В-приниципе, я бы согласился сделать ставку, взломает - я ему 500, не взломает - он мне 500. Чего не срубить бабла нахаляву. Только нет у него 500$, не будет легкого заработка Змінено 27 листопада 2020 користувачем Shureg 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. Только счас заметил. Сразу чувствуется рука матёрого безопасника. А еще лучше там сразу выложить форму входа с уже забитыми в value логином и пассом, чтоб не заморачиваться каждый раз Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 23 минуты назад, ocdev_pro сказал: Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 31 минуту назад, Yoda сказал: Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Точно. А еще, было бы очень хорошо иметь git что бы в любой не удобной ситуации, откатить изменения сделанные со стороны и увидеть куда и что добавили Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Глобальная защита opencart Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
druzhkov Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 В директории админ в файле login.tpl в самом начале прописываем: ... Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения. В принципе, решение нормальное, но имеет смысл развивать дальше. В данный момент это выглядит так: поставлена бронированная дверь (вход в админку), но окна и стены дома (весь остальной код) оставлены как есть. Лучше, полагаю, реализовывать подобное прямо в index.php. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Ну а чтобы господам взламывателям было веселее - я создал administrator.php , при это прописал его в robots.txt (они же любят поглазеть туда). Может, какую-то совсем школоту вы так и обманите, но ОК легко опознать и без админки. Надіслати Поділитися на інших сайтах More sharing options... Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 почему? код во view - это круто Конечно во view - ведь любой сайт мониторится на систему управления в два счета. Зная двиг - будешь знать как к нему подойти. Надіслати Поділитися на інших сайтах More sharing options... Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 В принципе, решение нормальное, но имеет смысл развивать дальше. В данный момент это выглядит так: поставлена бронированная дверь (вход в админку), но окна и стены дома (весь остальной код) оставлены как есть. Лучше, полагаю, реализовывать подобное прямо в index.php. Безусловно, Вы правы. Я сейчас не рассматривал вопросы прямых запросов в "дыры", которые есть в опенкарт. Я лишь показал сущность админской части. Надіслати Поділитися на інших сайтах More sharing options... Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 Может, какую-то совсем школоту вы так и обманите, но ОК легко опознать и без админки. Вы правы. Про админ.пхп - это просто бравада, не стоит на этом заострять внимание. Мне просто захотелось эту школоту послать по адресу - никаким боком, конечно же, это не влияет на защиту в целом. Надіслати Поділитися на інших сайтах More sharing options... Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 почему? код во view - это круто мы сейчас говорим конкретно про сайт.ру/админ/ И это решение - да, полноценное. Надіслати Поділитися на інших сайтах More sharing options... shoputils Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 $_GET, $_COOKIE, header() - нельзя так. Надіслати Поділитися на інших сайтах More sharing options... jvz Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 $_GET, $_COOKIE, header() - нельзя так.я об этом же Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Конечно во view Это надо делать в контроллере. Ну, и как намекают выше - у ОК есть обёртки над суперглобальными переменными (в которых, кстати, дополнительная фильтрация) и собственный метод в Response для установки заголовков. 1 Надіслати Поділитися на інших сайтах More sharing options... 1 month later... TrueLog Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 В 12.12.2016 в 09:21, jvz сказал: В 12.12.2016 в 08:55, shoputils сказал: $_GET, $_COOKIE, header() - нельзя так. я об этом же Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 3 минуты назад, TrueLog сказал: Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Потому что нужно экранировать все что приходит в GET POST, потому что это сделано уже за вас на уровне движка, потому что надо использовать системные методы для обработки входящих данных, а не писать костыли, потому что согласно паттерну MVC, использовать любую бизнес-логику в представлении нельзя. Потому что прежде чем постить подобные советы - надо пойти и немного поучиться! 4 Надіслати Поділитися на інших сайтах More sharing options... 2 years later... gavriem Опубліковано: 5 листопада 2019 Share Опубліковано: 5 листопада 2019 не проще в .htaccess перенести админку RewriteCond %{HTTP_REFERER} !http://site/admin/ RewriteCond %{QUERY_STRING} !^123456789 RewriteRule ^.*admin/? /not_found [R,L] выйдет http://site/admin/?123456789 Надіслати Поділитися на інших сайтах More sharing options... 2 months later... vyacheslav22 Опубліковано: 7 січня 2020 Share Опубліковано: 7 січня 2020 В 12.12.2016 в 04:12, Truth_Explorer сказал: Здравствуйте, друзья. Сегодня я расскажу о том, как на 99,9% защитить opencart. За 3 года пользования опенкарт я провел ряд исследований. Последний год я просил своих коллег из Канады, Франции и Китая взломать мой тестовый сайт. Результат - ноль. Итак. Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно. На моем сайте стоит 2 защиты: 1) на стороне сервера 2) программно. Про первую часть я не буду говорить, так как это само собой разумеющееся: установить пароль на директорию через htpasswd. А вот вторая часть интереснее. Приступим, всего 2 шага. В директории админ в файле login.tpl в самом начале прописываем: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> В конце всего файла закрываем: <?php } ?> Всё. Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения. У меня например на сайте так: /admin?djghjcbynthytn=jndtnvfufpby Сложно? - нет. Потому что мои значения этой абрыкадабры равны осмысленным значениям, только на латинице: вопросинтернет=ответмагазин. И ни одна сволочь не сможет пробраться к вам, не зная этих параметров. И не забывайте, всё же, об элементарных правилах безопасности. Как минимум проверку на стороне сервера, где тоже нужна будет авторизация (для новичков - на хостинге в админ-панеле легко настраивается). Благодарю за внимание. Пробовал прописать на опенкарт 3, но после входа в админку, экран полностью белый. Можете что то посоветовать в этом случае? Спасибо! Надіслати Поділитися на інших сайтах More sharing options... 7 months later... baxabit Опубліковано: 10 серпня 2020 Share Опубліковано: 10 серпня 2020 Для тройки: менять в контроллере, т.к. в твиге пхп не робит Надіслати Поділитися на інших сайтах More sharing options... 3 months later... verbram Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 Для третей версии необходимо провести следующие мероприятия Ниже указанный текст необходимо добавить в начало файла по адресу /admin/controller/common/login.php <?php if (isset($_GET['10'])) { $seckey = $_GET['10']; setcookie ("10", $_GET['10']); } else if (isset($_COOKIE['10'])) { $seckey = $_COOKIE['10']; } else { $seckey = ''; } if ($seckey != '1019') { header("HTTP/1.0 404 Not Found"); exit; } else { ?> <?php } ?> Админка закрыта возможно попасть только через эту ссылкуhttps://вашьсайт.ru/admin/?10=1019 Соответственно можно менять переменные "10" и "1019" на любые ваши - делать лучше раз в месяц, ВАЖНО!!!! внесение изменений в login.php должно проходить при открытой панели администратора для того чтобы можно было очистить кеш во вкладке модификаторов, в противном случае будет ошибка и белый экран Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Друзья помните для опытного специалиста все эти танцы с бубном всего на 20% обезопасят ваш ресурс, в опене много дыр:) и вам за безплатно никто не расскажет как их закрыть:) в каждой версии разные. Для человека который в начале форума писал про то, что он обезопасил сайт выше указанным способом, бро кидай ссылку на сайт вынесу твой ресурс за две недели:) Стоимость теста ресурса 500$, полная безопасность как обычно 1000$:)) PS: Изучайте свои движки, правильно настроенный опен это мега зверь. Изучайте внимательно мануал к движку и изменения в нем Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 И откуда вы, такие специалисты тупорылые, лезете-то... 46 минут назад, verbram сказал: И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Какие, к черту, статьи? Вордпресса начитался, гуру стал? Права была лиса Алиса. 2 Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: бро кидай ссылку на сайт вынесу твой ресурс за две недели:) тестовый подойдет? Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 (змінено) 34 минуты назад, chukcha сказал: тестовый подойдет? Так он же "за безплатно" не работает, 500 бексов хочет. В-приниципе, я бы согласился сделать ставку, взломает - я ему 500, не взломает - он мне 500. Чего не срубить бабла нахаляву. Только нет у него 500$, не будет легкого заработка Змінено 27 листопада 2020 користувачем Shureg 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. Только счас заметил. Сразу чувствуется рука матёрого безопасника. А еще лучше там сразу выложить форму входа с уже забитыми в value логином и пассом, чтоб не заморачиваться каждый раз Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 23 минуты назад, ocdev_pro сказал: Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 31 минуту назад, Yoda сказал: Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Точно. А еще, было бы очень хорошо иметь git что бы в любой не удобной ситуации, откатить изменения сделанные со стороны и увидеть куда и что добавили Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Глобальная защита opencart Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Dotrox Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Ну а чтобы господам взламывателям было веселее - я создал administrator.php , при это прописал его в robots.txt (они же любят поглазеть туда). Может, какую-то совсем школоту вы так и обманите, но ОК легко опознать и без админки. Надіслати Поділитися на інших сайтах More sharing options...
Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 почему? код во view - это круто Конечно во view - ведь любой сайт мониторится на систему управления в два счета. Зная двиг - будешь знать как к нему подойти. Надіслати Поділитися на інших сайтах More sharing options...
Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 В принципе, решение нормальное, но имеет смысл развивать дальше. В данный момент это выглядит так: поставлена бронированная дверь (вход в админку), но окна и стены дома (весь остальной код) оставлены как есть. Лучше, полагаю, реализовывать подобное прямо в index.php. Безусловно, Вы правы. Я сейчас не рассматривал вопросы прямых запросов в "дыры", которые есть в опенкарт. Я лишь показал сущность админской части. Надіслати Поділитися на інших сайтах More sharing options...
Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 Может, какую-то совсем школоту вы так и обманите, но ОК легко опознать и без админки. Вы правы. Про админ.пхп - это просто бравада, не стоит на этом заострять внимание. Мне просто захотелось эту школоту послать по адресу - никаким боком, конечно же, это не влияет на защиту в целом. Надіслати Поділитися на інших сайтах More sharing options...
Truth_Explorer Опубліковано: 12 грудня 2016 Автор Share Опубліковано: 12 грудня 2016 почему? код во view - это круто мы сейчас говорим конкретно про сайт.ру/админ/ И это решение - да, полноценное. Надіслати Поділитися на інших сайтах More sharing options...
shoputils Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 $_GET, $_COOKIE, header() - нельзя так. Надіслати Поділитися на інших сайтах More sharing options... jvz Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 $_GET, $_COOKIE, header() - нельзя так.я об этом же Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Конечно во view Это надо делать в контроллере. Ну, и как намекают выше - у ОК есть обёртки над суперглобальными переменными (в которых, кстати, дополнительная фильтрация) и собственный метод в Response для установки заголовков. 1 Надіслати Поділитися на інших сайтах More sharing options... 1 month later... TrueLog Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 В 12.12.2016 в 09:21, jvz сказал: В 12.12.2016 в 08:55, shoputils сказал: $_GET, $_COOKIE, header() - нельзя так. я об этом же Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 3 минуты назад, TrueLog сказал: Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Потому что нужно экранировать все что приходит в GET POST, потому что это сделано уже за вас на уровне движка, потому что надо использовать системные методы для обработки входящих данных, а не писать костыли, потому что согласно паттерну MVC, использовать любую бизнес-логику в представлении нельзя. Потому что прежде чем постить подобные советы - надо пойти и немного поучиться! 4 Надіслати Поділитися на інших сайтах More sharing options... 2 years later... gavriem Опубліковано: 5 листопада 2019 Share Опубліковано: 5 листопада 2019 не проще в .htaccess перенести админку RewriteCond %{HTTP_REFERER} !http://site/admin/ RewriteCond %{QUERY_STRING} !^123456789 RewriteRule ^.*admin/? /not_found [R,L] выйдет http://site/admin/?123456789 Надіслати Поділитися на інших сайтах More sharing options... 2 months later... vyacheslav22 Опубліковано: 7 січня 2020 Share Опубліковано: 7 січня 2020 В 12.12.2016 в 04:12, Truth_Explorer сказал: Здравствуйте, друзья. Сегодня я расскажу о том, как на 99,9% защитить opencart. За 3 года пользования опенкарт я провел ряд исследований. Последний год я просил своих коллег из Канады, Франции и Китая взломать мой тестовый сайт. Результат - ноль. Итак. Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно. На моем сайте стоит 2 защиты: 1) на стороне сервера 2) программно. Про первую часть я не буду говорить, так как это само собой разумеющееся: установить пароль на директорию через htpasswd. А вот вторая часть интереснее. Приступим, всего 2 шага. В директории админ в файле login.tpl в самом начале прописываем: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> В конце всего файла закрываем: <?php } ?> Всё. Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения. У меня например на сайте так: /admin?djghjcbynthytn=jndtnvfufpby Сложно? - нет. Потому что мои значения этой абрыкадабры равны осмысленным значениям, только на латинице: вопросинтернет=ответмагазин. И ни одна сволочь не сможет пробраться к вам, не зная этих параметров. И не забывайте, всё же, об элементарных правилах безопасности. Как минимум проверку на стороне сервера, где тоже нужна будет авторизация (для новичков - на хостинге в админ-панеле легко настраивается). Благодарю за внимание. Пробовал прописать на опенкарт 3, но после входа в админку, экран полностью белый. Можете что то посоветовать в этом случае? Спасибо! Надіслати Поділитися на інших сайтах More sharing options... 7 months later... baxabit Опубліковано: 10 серпня 2020 Share Опубліковано: 10 серпня 2020 Для тройки: менять в контроллере, т.к. в твиге пхп не робит Надіслати Поділитися на інших сайтах More sharing options... 3 months later... verbram Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 Для третей версии необходимо провести следующие мероприятия Ниже указанный текст необходимо добавить в начало файла по адресу /admin/controller/common/login.php <?php if (isset($_GET['10'])) { $seckey = $_GET['10']; setcookie ("10", $_GET['10']); } else if (isset($_COOKIE['10'])) { $seckey = $_COOKIE['10']; } else { $seckey = ''; } if ($seckey != '1019') { header("HTTP/1.0 404 Not Found"); exit; } else { ?> <?php } ?> Админка закрыта возможно попасть только через эту ссылкуhttps://вашьсайт.ru/admin/?10=1019 Соответственно можно менять переменные "10" и "1019" на любые ваши - делать лучше раз в месяц, ВАЖНО!!!! внесение изменений в login.php должно проходить при открытой панели администратора для того чтобы можно было очистить кеш во вкладке модификаторов, в противном случае будет ошибка и белый экран Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Друзья помните для опытного специалиста все эти танцы с бубном всего на 20% обезопасят ваш ресурс, в опене много дыр:) и вам за безплатно никто не расскажет как их закрыть:) в каждой версии разные. Для человека который в начале форума писал про то, что он обезопасил сайт выше указанным способом, бро кидай ссылку на сайт вынесу твой ресурс за две недели:) Стоимость теста ресурса 500$, полная безопасность как обычно 1000$:)) PS: Изучайте свои движки, правильно настроенный опен это мега зверь. Изучайте внимательно мануал к движку и изменения в нем Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 И откуда вы, такие специалисты тупорылые, лезете-то... 46 минут назад, verbram сказал: И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Какие, к черту, статьи? Вордпресса начитался, гуру стал? Права была лиса Алиса. 2 Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: бро кидай ссылку на сайт вынесу твой ресурс за две недели:) тестовый подойдет? Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 (змінено) 34 минуты назад, chukcha сказал: тестовый подойдет? Так он же "за безплатно" не работает, 500 бексов хочет. В-приниципе, я бы согласился сделать ставку, взломает - я ему 500, не взломает - он мне 500. Чего не срубить бабла нахаляву. Только нет у него 500$, не будет легкого заработка Змінено 27 листопада 2020 користувачем Shureg 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. Только счас заметил. Сразу чувствуется рука матёрого безопасника. А еще лучше там сразу выложить форму входа с уже забитыми в value логином и пассом, чтоб не заморачиваться каждый раз Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 23 минуты назад, ocdev_pro сказал: Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 31 минуту назад, Yoda сказал: Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Точно. А еще, было бы очень хорошо иметь git что бы в любой не удобной ситуации, откатить изменения сделанные со стороны и увидеть куда и что добавили Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Глобальная защита opencart Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
jvz Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 $_GET, $_COOKIE, header() - нельзя так.я об этом же Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Конечно во view Это надо делать в контроллере. Ну, и как намекают выше - у ОК есть обёртки над суперглобальными переменными (в которых, кстати, дополнительная фильтрация) и собственный метод в Response для установки заголовков. 1 Надіслати Поділитися на інших сайтах More sharing options... 1 month later... TrueLog Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 В 12.12.2016 в 09:21, jvz сказал: В 12.12.2016 в 08:55, shoputils сказал: $_GET, $_COOKIE, header() - нельзя так. я об этом же Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 3 минуты назад, TrueLog сказал: Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Потому что нужно экранировать все что приходит в GET POST, потому что это сделано уже за вас на уровне движка, потому что надо использовать системные методы для обработки входящих данных, а не писать костыли, потому что согласно паттерну MVC, использовать любую бизнес-логику в представлении нельзя. Потому что прежде чем постить подобные советы - надо пойти и немного поучиться! 4 Надіслати Поділитися на інших сайтах More sharing options... 2 years later... gavriem Опубліковано: 5 листопада 2019 Share Опубліковано: 5 листопада 2019 не проще в .htaccess перенести админку RewriteCond %{HTTP_REFERER} !http://site/admin/ RewriteCond %{QUERY_STRING} !^123456789 RewriteRule ^.*admin/? /not_found [R,L] выйдет http://site/admin/?123456789 Надіслати Поділитися на інших сайтах More sharing options... 2 months later... vyacheslav22 Опубліковано: 7 січня 2020 Share Опубліковано: 7 січня 2020 В 12.12.2016 в 04:12, Truth_Explorer сказал: Здравствуйте, друзья. Сегодня я расскажу о том, как на 99,9% защитить opencart. За 3 года пользования опенкарт я провел ряд исследований. Последний год я просил своих коллег из Канады, Франции и Китая взломать мой тестовый сайт. Результат - ноль. Итак. Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно. На моем сайте стоит 2 защиты: 1) на стороне сервера 2) программно. Про первую часть я не буду говорить, так как это само собой разумеющееся: установить пароль на директорию через htpasswd. А вот вторая часть интереснее. Приступим, всего 2 шага. В директории админ в файле login.tpl в самом начале прописываем: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> В конце всего файла закрываем: <?php } ?> Всё. Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения. У меня например на сайте так: /admin?djghjcbynthytn=jndtnvfufpby Сложно? - нет. Потому что мои значения этой абрыкадабры равны осмысленным значениям, только на латинице: вопросинтернет=ответмагазин. И ни одна сволочь не сможет пробраться к вам, не зная этих параметров. И не забывайте, всё же, об элементарных правилах безопасности. Как минимум проверку на стороне сервера, где тоже нужна будет авторизация (для новичков - на хостинге в админ-панеле легко настраивается). Благодарю за внимание. Пробовал прописать на опенкарт 3, но после входа в админку, экран полностью белый. Можете что то посоветовать в этом случае? Спасибо! Надіслати Поділитися на інших сайтах More sharing options... 7 months later... baxabit Опубліковано: 10 серпня 2020 Share Опубліковано: 10 серпня 2020 Для тройки: менять в контроллере, т.к. в твиге пхп не робит Надіслати Поділитися на інших сайтах More sharing options... 3 months later... verbram Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 Для третей версии необходимо провести следующие мероприятия Ниже указанный текст необходимо добавить в начало файла по адресу /admin/controller/common/login.php <?php if (isset($_GET['10'])) { $seckey = $_GET['10']; setcookie ("10", $_GET['10']); } else if (isset($_COOKIE['10'])) { $seckey = $_COOKIE['10']; } else { $seckey = ''; } if ($seckey != '1019') { header("HTTP/1.0 404 Not Found"); exit; } else { ?> <?php } ?> Админка закрыта возможно попасть только через эту ссылкуhttps://вашьсайт.ru/admin/?10=1019 Соответственно можно менять переменные "10" и "1019" на любые ваши - делать лучше раз в месяц, ВАЖНО!!!! внесение изменений в login.php должно проходить при открытой панели администратора для того чтобы можно было очистить кеш во вкладке модификаторов, в противном случае будет ошибка и белый экран Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Друзья помните для опытного специалиста все эти танцы с бубном всего на 20% обезопасят ваш ресурс, в опене много дыр:) и вам за безплатно никто не расскажет как их закрыть:) в каждой версии разные. Для человека который в начале форума писал про то, что он обезопасил сайт выше указанным способом, бро кидай ссылку на сайт вынесу твой ресурс за две недели:) Стоимость теста ресурса 500$, полная безопасность как обычно 1000$:)) PS: Изучайте свои движки, правильно настроенный опен это мега зверь. Изучайте внимательно мануал к движку и изменения в нем Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 И откуда вы, такие специалисты тупорылые, лезете-то... 46 минут назад, verbram сказал: И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Какие, к черту, статьи? Вордпресса начитался, гуру стал? Права была лиса Алиса. 2 Надіслати Поділитися на інших сайтах More sharing options... chukcha Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: бро кидай ссылку на сайт вынесу твой ресурс за две недели:) тестовый подойдет? Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 (змінено) 34 минуты назад, chukcha сказал: тестовый подойдет? Так он же "за безплатно" не работает, 500 бексов хочет. В-приниципе, я бы согласился сделать ставку, взломает - я ему 500, не взломает - он мне 500. Чего не срубить бабла нахаляву. Только нет у него 500$, не будет легкого заработка Змінено 27 листопада 2020 користувачем Shureg 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. Только счас заметил. Сразу чувствуется рука матёрого безопасника. А еще лучше там сразу выложить форму входа с уже забитыми в value логином и пассом, чтоб не заморачиваться каждый раз Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 23 минуты назад, ocdev_pro сказал: Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 31 минуту назад, Yoda сказал: Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Точно. А еще, было бы очень хорошо иметь git что бы в любой не удобной ситуации, откатить изменения сделанные со стороны и увидеть куда и что добавили Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Глобальная защита opencart Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
Dotrox Опубліковано: 12 грудня 2016 Share Опубліковано: 12 грудня 2016 Конечно во view Это надо делать в контроллере. Ну, и как намекают выше - у ОК есть обёртки над суперглобальными переменными (в которых, кстати, дополнительная фильтрация) и собственный метод в Response для установки заголовков. 1 Надіслати Поділитися на інших сайтах More sharing options...
TrueLog Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 В 12.12.2016 в 09:21, jvz сказал: В 12.12.2016 в 08:55, shoputils сказал: $_GET, $_COOKIE, header() - нельзя так. я об этом же Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Надіслати Поділитися на інших сайтах More sharing options...
Yoda Опубліковано: 31 січня 2017 Share Опубліковано: 31 січня 2017 3 минуты назад, TrueLog сказал: Почему нельзя? Этот метод, в целом, не подходит для защиты админки? Потому что нужно экранировать все что приходит в GET POST, потому что это сделано уже за вас на уровне движка, потому что надо использовать системные методы для обработки входящих данных, а не писать костыли, потому что согласно паттерну MVC, использовать любую бизнес-логику в представлении нельзя. Потому что прежде чем постить подобные советы - надо пойти и немного поучиться! 4 Надіслати Поділитися на інших сайтах More sharing options...
gavriem Опубліковано: 5 листопада 2019 Share Опубліковано: 5 листопада 2019 не проще в .htaccess перенести админку RewriteCond %{HTTP_REFERER} !http://site/admin/ RewriteCond %{QUERY_STRING} !^123456789 RewriteRule ^.*admin/? /not_found [R,L] выйдет http://site/admin/?123456789 Надіслати Поділитися на інших сайтах More sharing options...
vyacheslav22 Опубліковано: 7 січня 2020 Share Опубліковано: 7 січня 2020 В 12.12.2016 в 04:12, Truth_Explorer сказал: Здравствуйте, друзья. Сегодня я расскажу о том, как на 99,9% защитить opencart. За 3 года пользования опенкарт я провел ряд исследований. Последний год я просил своих коллег из Канады, Франции и Китая взломать мой тестовый сайт. Результат - ноль. Итак. Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно. На моем сайте стоит 2 защиты: 1) на стороне сервера 2) программно. Про первую часть я не буду говорить, так как это само собой разумеющееся: установить пароль на директорию через htpasswd. А вот вторая часть интереснее. Приступим, всего 2 шага. В директории админ в файле login.tpl в самом начале прописываем: <?php if (isset($_GET['secretkey'])) {$seckey = $_GET['secretkey']; setcookie ("secretkey", $_GET['secretkey']);} else if (isset($_COOKIE['secretkey'])) {$seckey = $_COOKIE['secretkey']; } else {$seckey = '';} if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found"); exit; } else { ?> В конце всего файла закрываем: <?php } ?> Всё. Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения. У меня например на сайте так: /admin?djghjcbynthytn=jndtnvfufpby Сложно? - нет. Потому что мои значения этой абрыкадабры равны осмысленным значениям, только на латинице: вопросинтернет=ответмагазин. И ни одна сволочь не сможет пробраться к вам, не зная этих параметров. И не забывайте, всё же, об элементарных правилах безопасности. Как минимум проверку на стороне сервера, где тоже нужна будет авторизация (для новичков - на хостинге в админ-панеле легко настраивается). Благодарю за внимание. Пробовал прописать на опенкарт 3, но после входа в админку, экран полностью белый. Можете что то посоветовать в этом случае? Спасибо! Надіслати Поділитися на інших сайтах More sharing options...
baxabit Опубліковано: 10 серпня 2020 Share Опубліковано: 10 серпня 2020 Для тройки: менять в контроллере, т.к. в твиге пхп не робит Надіслати Поділитися на інших сайтах More sharing options...
verbram Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 Для третей версии необходимо провести следующие мероприятия Ниже указанный текст необходимо добавить в начало файла по адресу /admin/controller/common/login.php <?php if (isset($_GET['10'])) { $seckey = $_GET['10']; setcookie ("10", $_GET['10']); } else if (isset($_COOKIE['10'])) { $seckey = $_COOKIE['10']; } else { $seckey = ''; } if ($seckey != '1019') { header("HTTP/1.0 404 Not Found"); exit; } else { ?> <?php } ?> Админка закрыта возможно попасть только через эту ссылкуhttps://вашьсайт.ru/admin/?10=1019 Соответственно можно менять переменные "10" и "1019" на любые ваши - делать лучше раз в месяц, ВАЖНО!!!! внесение изменений в login.php должно проходить при открытой панели администратора для того чтобы можно было очистить кеш во вкладке модификаторов, в противном случае будет ошибка и белый экран Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Друзья помните для опытного специалиста все эти танцы с бубном всего на 20% обезопасят ваш ресурс, в опене много дыр:) и вам за безплатно никто не расскажет как их закрыть:) в каждой версии разные. Для человека который в начале форума писал про то, что он обезопасил сайт выше указанным способом, бро кидай ссылку на сайт вынесу твой ресурс за две недели:) Стоимость теста ресурса 500$, полная безопасность как обычно 1000$:)) PS: Изучайте свои движки, правильно настроенный опен это мега зверь. Изучайте внимательно мануал к движку и изменения в нем Надіслати Поділитися на інших сайтах More sharing options...
Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 И откуда вы, такие специалисты тупорылые, лезете-то... 46 минут назад, verbram сказал: И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:) Какие, к черту, статьи? Вордпресса начитался, гуру стал? Права была лиса Алиса. 2 Надіслати Поділитися на інших сайтах More sharing options...
chukcha Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: бро кидай ссылку на сайт вынесу твой ресурс за две недели:) тестовый подойдет? Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 (змінено) 34 минуты назад, chukcha сказал: тестовый подойдет? Так он же "за безплатно" не работает, 500 бексов хочет. В-приниципе, я бы согласился сделать ставку, взломает - я ему 500, не взломает - он мне 500. Чего не срубить бабла нахаляву. Только нет у него 500$, не будет легкого заработка Змінено 27 листопада 2020 користувачем Shureg 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. Только счас заметил. Сразу чувствуется рука матёрого безопасника. А еще лучше там сразу выложить форму входа с уже забитыми в value логином и пассом, чтоб не заморачиваться каждый раз Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 23 минуты назад, ocdev_pro сказал: Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 31 минуту назад, Yoda сказал: Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Точно. А еще, было бы очень хорошо иметь git что бы в любой не удобной ситуации, откатить изменения сделанные со стороны и увидеть куда и что добавили Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Глобальная защита opencart
Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 (змінено) 34 минуты назад, chukcha сказал: тестовый подойдет? Так он же "за безплатно" не работает, 500 бексов хочет. В-приниципе, я бы согласился сделать ставку, взломает - я ему 500, не взломает - он мне 500. Чего не срубить бабла нахаляву. Только нет у него 500$, не будет легкого заработка Змінено 27 листопада 2020 користувачем Shureg 1 Надіслати Поділитися на інших сайтах More sharing options...
Shureg Опубліковано: 27 листопада 2020 Share Опубліковано: 27 листопада 2020 2 часа назад, verbram сказал: Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска. Только счас заметил. Сразу чувствуется рука матёрого безопасника. А еще лучше там сразу выложить форму входа с уже забитыми в value логином и пассом, чтоб не заморачиваться каждый раз Надіслати Поділитися на інших сайтах More sharing options...
ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Надіслати Поділитися на інших сайтах More sharing options... Yoda Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 23 минуты назад, ocdev_pro сказал: Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Надіслати Поділитися на інших сайтах More sharing options... ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 31 минуту назад, Yoda сказал: Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Точно. А еще, было бы очень хорошо иметь git что бы в любой не удобной ситуации, откатить изменения сделанные со стороны и увидеть куда и что добавили Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
Yoda Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 23 минуты назад, ocdev_pro сказал: Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое... 1. Админ закрыть можно через .htaccess и пока пока 2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства. Что бы вот прям защитится, надо комплекс мер 1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд 2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого 3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View и пускай долбятся куда хотят (но потеряете совместимость) А эти все доп пароли, куки итд.. ну такое Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Надіслати Поділитися на інших сайтах More sharing options...
ocdev_pro Опубліковано: 28 листопада 2020 Share Опубліковано: 28 листопада 2020 31 минуту назад, Yoda сказал: Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD CAST(); RAND. И блокировку всяких ../../// - на уровне серверных правил. Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций. Точно. А еще, было бы очень хорошо иметь git что бы в любой не удобной ситуации, откатить изменения сделанные со стороны и увидеть куда и что добавили Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2
Recommended Posts