คำถามติดแท็ก security

วันนี้ 04.08.2015 มีแพตช์รักษาความปลอดภัยใหม่เปิดตัวเพื่อนร่วมงานบางคนและฉันกำลังตรวจสอบแพตช์และยินดีที่ได้พูดคุยกันเกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้นและทุกคนก็รู้ว่าการโจมตีที่เป็นไปได้ อะไรที่เลวร้ายที่สุดที่อาจเกิดขึ้นได้? อัปเดต: ฉันแค่ต้องการเพิ่มอีเมลคุณภาพเยี่ยมที่ส่งวันนี้เพื่อโพสต์ให้เสร็จสมบูรณ์

28 magento-1.9  security  patches 

Magento เปิดตัวแพตช์รักษาความปลอดภัยใหม่สำหรับ M1 และอัปเดตสำหรับ M1 และ M2 คุณต้องระวังปัญหาทั่วไปอะไรบ้างเมื่อใช้งาน patch / upgrade นี้ วีโอไอพี 1 https://magento.com/security/patches/supee-11155 วีโอไอพี 2 นี่ควรเป็นรีลีสล่าสุดในซีรีย์ 2.1 ซึ่งมาถึง EOL ในตอนท้ายของเดือนนี้ https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13 https://github.com/magento/magento2/releases/tag/2.1.18 https://github.com/magento/magento2/releases/tag/2.2.9 https://github.com/magento/magento2/releases/tag/2.3.2

28 magento2  magento-1  security  patches 

บ่อยครั้งมากที่เราใช้ไซต์จาก บริษัท อื่นและตอนนี้เราติดอยู่กับการรวมกลุ่มของรหัสและอาจมีคนหลายสิบคนที่ทำงานในไซต์ ฉันกำลังมองหารายชื่อของรายการที่จะถามของเจ้าหน้าที่รักษาความปลอดภัยเพื่อให้แน่ใจว่าเว็บไซต์วีโอไอพีแข็ง สิ่งนี้จะต้องใช้ถ้ามีคนรับผิดชอบรหัสทั้งหมดและลูกค้าไม่ต้องการสร้างใหม่ตั้งแต่ต้น คำถามของฉัน: มีรายการ 10 อันดับแรกหรือ 20 อันดับแรกที่จะถามและจัดทำเอกสารหรือไม่

27 security 

มีตัวช่วย Magento ในตัวเพื่อหลีกเลี่ยงข้อมูลแม่แบบที่ส่งออกเพื่อป้องกัน XSS หรือไม่ หรือฉันควรใช้ PHP htmlspecialcharsหรือhtmlentitiesฟังก์ชั่น?

27 magento-1  template  security 

ตกลงมีบางคนต้องถามสิ่งนี้: วันนี้, 7/7/2558 แพตช์ความปลอดภัยใหม่สำหรับ Magento <1.9.2 ได้รับการเผยแพร่แล้ว อัพเดทร้านค้าของคุณโดยเร็ว! แต่สิ่งที่เปลี่ยนแปลงไป? มีการค้นพบช่องโหว่ของปัญหาด้านความปลอดภัยหรือไม่ สิ่งที่เลวร้ายที่สุดที่อาจเกิดขึ้นคืออะไร? และมีอะไรบ้างที่สามารถทำลายได้ เช่นเดียวกับ SUPEE-5994 ซึ่งเป็นไปไม่ได้ที่จะใช้แพตช์หากไดเรกทอรีดาวน์โหลดขาดหายไป ...

26 magento-1.9  security  patches  supee-6285 

Magento เปิดตัวแพตช์รักษาความปลอดภัยใหม่สำหรับ M1 และอัปเดตสำหรับ M1 และ M2 รีลีสเหล่านี้รวมถึงการแก้ไขด้านความปลอดภัยที่สำคัญ "เราขอแนะนำอย่างยิ่งให้ร้านค้าทั้งหมดอัพเกรดโดยเร็วที่สุด" ฉันควรระวังปัญหาอะไรบ้างเมื่ออัปเกรดหรือใช้งานโปรแกรมแก้ไขนี้ สุภี-11086 SUPEE-11086, Magento Commerce 1.14.4.1 และ Open Source 1.9.4.1 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิดการเรียกใช้รหัสระยะไกล (RCE) การเขียนสคริปต์ข้ามไซต์ (XSS) การปลอมแปลงคำขอข้ามไซต์ (CSRF) และช่องโหว่อื่น ๆ Magento 2.3.1, 2.2.8 และ 2.1.17 ปรับปรุงความปลอดภัย รุ่นเหล่านี้มีการปรับปรุงการทำงานและความปลอดภัยหลายอย่าง ความเสี่ยง: สำคัญสำหรับ Magento Commerce และ Magento Open Source ก่อน 2.1.17, 2.2.8 และ 2.3.1

24 magento2  magento-1  security  patches  supee-11086 

ฉันมี URL ของผู้ดูแลระบบที่กำหนดเอง แต่ฉันก็ยังเห็นใครบางคนกำลังพยายามเข้าสู่ระบบของผู้ดูแลระบบ ฉันยังเปลี่ยนมันและไม่นานหลังจากพยายามเข้าสู่ระบบต่อไป ฉันคิดว่ามันปลอดภัยได้อย่างไร

22 admin  security 

วันนี้เพื่อนแจ้งเตือนฉันเกี่ยวกับการปรับปรุงการรักษาความปลอดภัยที่สำคัญสำหรับวีโอไอพี - สุภี-5344 ฉันไม่เห็นบทความใด ๆ เกี่ยวกับแพทช์นี้ในเว็บไซต์ไอทีหลัก ๆ แม้ว่าฉันจะเป็นgoogleสำหรับการอัปเดตนี้ฉันเห็นหน้า SE เกี่ยวกับการอัปเดตนี้ แต่ไม่มีข้อมูล Magentocommerce ยกเว้นหน้าดาวน์โหลด ฟอรั่มการพาณิชย์ของวีโอไอพีจะอ่านได้เท่านั้น สิ่งนี้ทำให้ฉันสงสัย - ฉันจะหาการแจ้งเตือนได้ที่ไหนฉันจะสมัครสมาชิกรายชื่อผู้รับจดหมายได้ที่ไหน

22 magento-1  patches  security 

หมายเหตุ: ปัญหานี้ดูเหมือนจะนำไปใช้กับ Magento ทุกรุ่นที่ได้รับแพตช์ SUPEE-6788 คุณจะเห็นในคำตอบของฉันว่าทั้งสอง .htaccessและ.htaccess.sampleจำเป็นต้องได้รับการฟื้นฟูเพื่อให้แพตช์สำเร็จ ผมทำงานเกี่ยวกับการใช้สุภี-6788 แพทช์ไปยังเว็บไซต์ CE 1.7.0.2 การใช้สคริปต์เปลือกที่มีให้โดยmagentocommerce.com/downloads ไซต์ดังกล่าวมีการใช้โปรแกรมปรับปรุงความปลอดภัยก่อนหน้านี้ทั้งหมด ชื่อของสคริปต์คือPATCH_SUPEE-6788_CE_1.7.0.2_v1-2015-10-27-12-00-16.shและมี md5sum ของcfc0cf533fe36a5f573414f0feeb1590(แพทช์นี้ผิดปกติในการที่มันถูกปล่อยออกมาไม่มีการบีบอัด - แม้ว่าไฟล์จะไม่ปรากฏเสียหายหรือถูกตัดทอน) เมื่อรันสคริปต์นี้คอนโซลเอาต์พุตจะปรากฏขึ้นเพื่อระบุว่าอย่างน้อยหนึ่งในแพตช์ที่รวมมานั้นล้มเหลวหรือถูกข้ามไป แต่ส่วนต่าง ๆ ของแพตช์สำเร็จ แต่gitไม่แสดงการเปลี่ยนแปลง สคริปต์ดังกล่าวได้รับการทดสอบในสภาพแวดล้อมที่แตกต่างกันสองแห่งโดยมี codebase เหมือนกันหนึ่งอันคือเวิร์กสเตชัน Ubuntu GNOME 14.04 LTS และอีกหนึ่งเซิร์ฟเวอร์แชร์ของnexcess.com (ใช้งาน CentOS) สิ่งที่น่าสนใจคือเอาต์พุตในสภาพแวดล้อมทั้งสองนั้นแตกต่างกันเล็กน้อย สังเกตบรรทัดที่ขึ้นต้นด้วย "กำลังตรวจสอบ" vs "การปะแก้" ตัวอย่างผลลัพธ์จากสภาพแวดล้อม Ubuntu: bash PATCH_SUPEE-6788_CE_1.7.0.2_v1-2015-10-27-12-00-16.sh [19:27:10] Checking if patch can be applied/reverted successfully... …

21 magento-1.7  ce-1.7.0.2  security  patches  supee-6788 

SUPEE-10888 เป็นแพทช์รักษาความปลอดภัยตัวใหม่สำหรับ Magento 1 ซึ่งจัดการปัญหาด้านความปลอดภัย 12 ข้อ https://magento.com/security/patches/supee-10888 SUPEE-10888, Magento Commerce 1.14.3.10 และ Open Source 1.9.3.10 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิด cross-site scripting (XSS), การปลอมแปลงคำร้องขอข้ามไซต์ (CSRF) และช่องโหว่อื่น ๆ สามารถดูแพตช์ได้ที่https://magento.com/tech-resources/download#download2243 ปัญหาทั่วไปที่คุณต้องระวังเมื่อใช้โปรแกรมแก้ไขนี้

21 magento-1  patches  security  supee-10888 

ฉันเข้าใจว่า magento บอกว่ามี/ varและ/ mediaที่700สำหรับโฟลเดอร์และ600สำหรับไฟล์ แต่เมื่อฉันทำเช่นนี้จะแบ่งบางส่วนของเว็บไซต์ของฉัน ฉันอยากรู้ว่าสิ่งใดที่คนส่วนใหญ่ใช้สิทธิ์สำหรับโฟลเดอร์เหล่านี้

21 magento-1.7  security  permissions 

ในการติดตั้งวานิลลา 1.9.2.4 ที่สะอาดติดตั้ง patched กับ SUPEE-8788, SUPEE-9652 และ SUPEE-9767 และเปิดการตั้งค่า 'เปิดใช้งานการตรวจสอบคีย์แบบฟอร์มการชำระเงินใหม่' หลังจากการลงทะเบียนลูกค้าใหม่ที่ประสบความสำเร็จ การชำระเงินแบบหน้าเดียวเริ่มต้นไม่มีลูกค้าใหม่ถูกสร้างขึ้นและลูกค้าไม่ได้เข้าสู่ระบบถึงแม้ว่าการสั่งซื้อจะผ่านไป การปิดการตั้งค่า 'เปิดใช้งานการตรวจสอบความถูกต้องของคีย์แบบฟอร์มเมื่อชำระเงิน' ทำให้สามารถทำงานได้อีกครั้ง มีใครมีปัญหานี้อีกบ้างไหม ดูเหมือนจะไม่สำคัญว่าจะใช้วิธีการจัดส่ง / การชำระเงินใด ฉันได้ลองทำสิ่งนี้ด้วยการติดตั้ง Magento 1.9.3.3 ที่สดใหม่และไม่เปลี่ยนแปลงและดูเหมือนว่าจะมีปัญหาเดียวกัน เมื่อทำการลงทะเบียนลูกค้าใหม่ผ่านการชำระเงินแบบหน้าเดียวจะไม่มีการสร้างลูกค้าแม้ผ่านการสั่งซื้อจะดำเนินการได้ดีตราบใดที่การเปิดใช้งานการตั้งค่า

19 security  patches  ce-1.9.2.4  magento1.9.3  supee-9767 

สภาพแวดล้อมการพัฒนา Magento 2 ของฉันเริ่มกระตุ้นฉันด้วยข้อความแสดงข้อผิดพลาดต่อไปนี้ เว็บเซิร์ฟเวอร์ของคุณตั้งค่าไม่ถูกต้องและอนุญาตการเข้าถึงไฟล์สำคัญ กรุณาติดต่อผู้ให้บริการโฮสต์ของคุณ มีใครติดตาม มีการตรวจสอบความปลอดภัยอะไรบ้าง การตรวจสอบเหล่านี้เกิดขึ้นที่ไหนในรหัสหลัก

18 magento2  php  security 

ฉันมีหน้าเว็บที่ฉันแสดงผลิตภัณฑ์ไว้ ชนิดของcatalog/view.phtmlโคลน รวมอยู่app/Mage.phpด้วย ในหน้านี้ฉันใช้ Mage::getSingleton('core/session')->getFormKey(); แต่มันแตกต่างจากรูปแบบอื่นของคีย์ ผมทำอะไรผิดหรือเปล่า?

18 ce-1.8.1.0  security  forms  form-key  csrf 

ฉันทำงานกับเว็บไซต์ที่ฉันเชื่อว่าถูกแฮ็กเพื่อรวบรวมข้อมูลบัตรเครดิตของลูกค้า แต่ฉันไม่แน่ใจ ฉันไม่พบรหัสที่น่าสงสัยในสถานที่ทั่วไปที่ฉันเคยเห็นที่แนะนำในบทความต่าง ๆ ฉันได้พบที่น่าสงสัย "เสีย" ไฟล์ภาพใน: /skin/adminhtml/default/default/images/db-tab-bottom-right-bg_bg.gif ฉันเปลี่ยนนามสกุลไฟล์และเปิดเธอขึ้นมา แต่มันเป็นเพียงกำแพงข้อความเข้ารหัสที่JPEG-1.1กระจัดกระจาย ฉันจะรู้ได้อย่างไรว่าไซต์ถูกบุกรุกหรือไม่ ฉันยืนยันว่ามีการใช้งานโปรแกรมแก้ไขนี้ แต่แฮ็คอาจเกิดขึ้นก่อนหน้าโปรแกรมแก้ไข แก้ไข: เวอร์ชันที่ได้รับผลกระทบคือ 1.7.0.2

17 magento-1.7  ce-1.7.0.2  security