在现今的网络中,没有100%的安全性.特别是针对网上购物程序来说,安全性至关重要.
就连Magento这个庞然大物来说.也是有漏洞可循的.
Magento一直以安全著称.但是也出现了比个比较严重的漏洞.
我就拿两个来说说.
漏洞一
此漏洞需要一定的权限,有点不太好搞)
影响版本:
Magento 1.3.2.4
漏洞分析:
在执行添加产品、添加客户组、添加属性集的根目录等操作时,Magento没有正确地过滤用户提交给Name、Product
SKU、Group Name、Class Name、Tax Identifier、Poll Question、Answer
Title等字段的输入参数。远程攻击者可以在上述字段中注入任意HTML和脚本代码,用户查看恶意内容时就会在浏览器会话中执行注入的内容。
漏洞二.(此漏洞可以直接爆出源码,比如mysql密码这些.但是受影响范围小)
影响版本:
Magento
1.5.0.0
漏洞分析:
由于图片存储模块(Magento CDN
model)的改进导致一个潜在的安全漏洞.
利用方法:
Shockingly there is a file
called get.php in a root of Magento. OK, that fact alone is not that
shocking.
Try running something like
http://{{unsecure_base_url}}/get.php/app/etc/local.xml where
{{unsecure_base_url}} is your test host/domain. It will nicely return entire
content of the config.xml file.
Even the demo site
http://demo.magentocommerce.com will show you full database user/password
info
上面的内容并不是告诉大家Magento安全性不好.而是告诉大家Magento安全性非常好.开源对购物程序来说,是非常不妙的一件事.也是非常好的一件事.
开源,大家就能找出程序的漏洞,并加以利用.正因为开源,漏洞也能被及时发现.
今天我要教大家的事,是通过自己的设置.达到,就算被0day袭击.也能安全无恙.
安全基础设置一:为自己的数据库加上表前缀. Magento安装过程中就能自己设置.这个就不多讲.
安全基础设置二:更改后台地址.修改downloader地址(一般都会修改后台地址,而忽略了downloader地址).
安全基础设置三:后台使用与域名或者其他网站不同的用户名以及密码.
安全基础设置四:修改ftp,ssh密码.不要与域名相关,切英文数字混杂.
安全基础设置五:使用ssl访问后台以及checkout页面.
通过以上的设置,你的网站基本上能防止初级以及中级的黑客了.
通过下面的设置,你将防御99.99%的攻击.
Magento安全高级设置一:修改类名,以及url. 此剑一出.高级黑客也没办法..
明明知道有漏洞,却只能干瞪眼.
Magento安全高级设置二:重写以及分析第三方扩展的安全性.
比较狠吧.
Magento安全高级设置三:web DB分离.
更改默认文件放置位置.一些不必要的文件夹,不要放在public下.有效保证数据库的安全.
Magento安全高级设置四:修改Magento密码的加密方式.Magento默认是MD5加密的.大家可以稍做修改.
Magento安全高级设置五:限制访问后台IP,公司统一用VPN进入
服务器的安全设置不在本blog讨论范围之内. 相信我,用上面的办法可以防止99.99%的专业黑客入侵.
还有0.01%,就要从自己公司内部解决了.. 毕竟社会工程学也是黑客入侵的手段.这个没有办法从程序上来阻止.
来自:http://www.ecartchina.com/magento-security-settings.html
分享到:
相关推荐
Magento是一款知名的开源电子商务平台,以其强大的功能和高度的可定制性而受到许多电商网站的青睐。然而,由于其复杂的架构,Magento在默认情况下可能会相对较慢,尤其是在处理大量产品和访问量时。为了解决这个问题...
然而,为了保证用户体验和安全性,可能还需要调整其他配置,如SSL证书、支付网关设置、邮件服务器等,具体取决于源站点的配置和新服务器的要求。 总之,快速复制Magento站点涉及多个层面的工作,包括数据库迁移、...
1. **Magento的常用设置** Magento的设置涉及许多方面,包括商店的基本信息、税收规则、配送和付款方式、货币设置等。学习过程中,你需要理解如何配置这些参数以满足不同商业需求。例如,设置多个店面视图以支持多...
在Magento中,SMTP插件扮演着关键角色,它允许商家通过更安全、可靠的SMTP服务器发送交易邮件,如订单确认、发货通知等。本主题将深入探讨Magento的SMTP插件及其应用。 Magento的SMTP插件是为了克服默认邮件发送...
### Magento用户中文操作手册知识点详解 #### 一、Magento简介 **Magento** 是一款专业的开源电子商务平台,旨在为企业提供强大的在线商店解决方案。该系统凭借其卓越的灵活性和可定制性,已经成为众多电子商务...
7. **安全设置**:安装完成后,应移除安装目录,修改默认的admin路径(如 `admin_yourcustompath`),并配置合适的权限。 8. **优化性能**:为了提高Magento的运行效率,可以进行一些性能优化,比如启用OpCache、...
10. **CORECONFIGURATION**:系统配置表,存储了Magento的全局配置设置。 11. **WEBSITE/STORE**和**ADMIN**:网站/商店表和管理员表,用于管理多个商店视图和管理员账户。 12. **TAG**, **SYSTEMLAYOUT**, **...
6. **安全设置**:安装完成后,删除安装目录以增加安全性,同时根据需要配置 `.htaccess` 文件以防止直接访问敏感文件。 7. **初始化数据**:Magento2需要一些初始数据,如分类、产品、顾客组等。使用Magento的后台...
1. **设置模块目录结构** Magento的模块结构通常遵循一定的规范。例如,官方提供的模块位于`app/code/core/Mage`目录下,而开发者自定义的模块则应放置于`app/code/local/Packagename`目录中。“Packagename”应为...
这个版本是Magento的早期稳定版本,具有多项改进和增强的功能,旨在提高性能、安全性和用户体验。 一、Magento 1.9.0.1的核心特性: 1. 多店铺管理:Magento 1.9.0.1 支持多个店面和网站,允许商家在一个后台管理...
这通常通过在Magento后台设置相应的商户ID、密钥等信息来完成。 2. **前端展示**:在商品详情页或购物车页面,插件会添加支付宝支付的按钮,用户点击后跳转至支付宝支付页面。这需要在"design"目录下修改模板文件,...
在使用Magik Shoes Magento模板时,商家需要了解Magento的后台管理系统,学习如何上传产品、管理订单、设置促销活动以及维护商店的日常运营。同时,为了确保模板正常运行,商家还需要定期更新Magento核心和扩展,以...
6. **维护与更新**:随着Magento版本的升级,应关注插件的兼容性和更新,及时进行维护,以保持系统的稳定和安全。 总结来说,“magento图片延时加载插件”是提升Magento电商网站性能的有效工具,它通过优化图片加载...
9. **安全实践**:遵循最佳安全实践,例如加密敏感信息,避免在代码中硬编码API密钥,定期轮换Access Tokens,以及对输入数据进行验证以防止潜在的安全威胁。 这个“magento-java-master.zip_magento”压缩包可能...
Magento 后台操作手册涵盖了 Magento 后台的基本操作、产品上传、分类管理、产品价格设置、图片上传、库存管理、商店设置、货币设置、首页基本信息修改等多个方面的内容,旨在帮助用户更好地使用 Magento 电子商务...
Magento是一款强大的开源电子商务平台,为开发者提供了广泛的定制和扩展能力。《Magento插件开发手册...通过遵循这些指导原则,开发者能够构建出高质量、安全且可维护的插件,从而增强Magento网站的功能性和用户体验。
- 安全性是电商平台的生命线,Magento内置了多种安全措施,如防火墙、数据加密等。 - 开发者还需要关注最新的安全漏洞,并及时更新补丁以防止攻击。 7. **性能优化** - Magento通过内置的缓存机制来加速页面加载...
Magento是一种功能强大的电子商务平台,它允许用户通过一套丰富的扩展功能和模块来创建个性化的在线商店。制作Magento模板是一个复杂的过程,涉及到对Magento系统内部设计元素的深入理解,包括网站结构、商店配置、...
在安全方面,虽然Magento 1.7已不再接收官方的安全更新,但你可以通过定期备份、使用安全插件和保持服务器安全来保护你的网站。另外,考虑升级到更现代的Magento版本(如Magento 2)可以带来更多的性能提升和安全...
在本指南中,读者将了解到如何设置和配置Magento环境,以及如何通过编写PHP代码来扩展和定制Magento的默认行为。由于Magento是基于MVC(模型-视图-控制器)架构设计的,开发者需要了解这一架构模式,以便更好地理解...