คำถามติดแท็ก security

แสดงถึงคำถามความปลอดภัยใน Magento

15
SUPEE-10975 ปัญหาที่อาจเกิดขึ้น
SUPEE-10975 ได้รับการปล่อยตัวออกมามันจะเป็นการดีที่จะรู้ว่าถ้ามีใครประสบปัญหาใด ๆ ในขณะที่พยายามใช้สิ่งนี้ความขัดแย้งนี้จะเกิดขึ้นกับแพทช์ล่าสุดที่เพิ่มการสนับสนุน 7.2 หรือไม่? จนถึงตอนนี้เป็นไฟล์ที่มีการเปลี่ยนแปลงที่ฉันเห็น app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php app/code/core/Mage/Adminhtml/Block/Newsletter/Template/Edit.php app/code/core/Mage/Adminhtml/controllers/Cms/BlockController.php app/code/core/Mage/Adminhtml/controllers/Customer/GroupController.php app/code/core/Mage/Adminhtml/controllers/SitemapController.php app/code/core/Mage/Adminhtml/controllers/System/BackupController.php app/code/core/Mage/Captcha/Model/Observer.php app/code/core/Mage/Captcha/Model/Zend.php app/code/core/Mage/Captcha/etc/config.xml app/code/core/Mage/Catalog/Model/Api2/Product/Image/Rest/Admin/V1.php app/code/core/Mage/Catalog/Model/Product/Attribute/Media/Api.php app/code/core/Mage/Cms/Model/Wysiwyg/Images/Storage.php app/code/core/Mage/Core/etc/config.xml app/code/core/Mage/Core/sql/core_setup/upgrade-1.6.0.7.1.1-1.6.0.7.1.2.php app/code/core/Mage/Dataflow/Model/Convert/Container/Abstract.php app/code/core/Mage/ImportExport/Model/Import/Entity/Customer.php app/code/core/Mage/ImportExport/Model/Import/Entity/Customer/Address.php app/code/core/Mage/Payment/etc/config.xml app/code/core/Mage/Payment/etc/system.xml app/code/core/Mage/Payment/sql/payment_setup/upgrade-1.6.0.0.1.1-1.6.0.0.1.2.php app/code/core/Mage/Sendfriend/Block/Send.php app/code/core/Mage/Wishlist/controllers/IndexController.php app/code/core/Zend/Controller/Request/Http.php app/design/adminhtml/default/default/template/cms/browser/content/files.phtml app/design/frontend/base/default/layout/captcha.xml app/design/frontend/base/default/template/wishlist/sharing.phtml app/design/frontend/rwd/default/layout/page.xml app/design/frontend/rwd/default/template/sendfriend/send.phtml app/etc/modules/Mage_All.xml app/etc/modules/Mage_Captcha.xml app/locale/en_US/Mage_Wishlist.csv js/lib/jquery/jquery-1.12.0.js js/lib/jquery/jquery-1.12.0.min.js js/lib/jquery/jquery-1.12.0.min.map js/lib/jquery/jquery-1.12.1.js js/lib/jquery/jquery-1.12.1.min.js js/lib/jquery/jquery-1.12.1.min.map มีใครประสบปัญหาใด ๆ กับการเปลี่ยนแปลงเหล่านี้หรือไม่

4
SecurityPatch 9652: ปัญหาที่เป็นไปได้หลังจากใช้ SUPEE-9652
Magento ได้เปิดตัวแพทช์รักษาความปลอดภัยSUPEE-9652สำหรับMagento 1.x CE และ EE ฉันต้องการรู้ว่าปัญหาที่เป็นไปได้หลังจากใช้โปรแกรมปรับปรุงความปลอดภัยนี้คืออะไรและอะไรคือการเปลี่ยนแปลงใหม่ในโปรแกรมปรับปรุงความปลอดภัยนี้

2
Magento แฮ็คแม้จะใช้ปะ
บางวันก่อนเว็บไซต์ Magento community รุ่น 1.8.1 ของฉันถูกแฮ็กเพราะเราไม่สามารถนำpatch มาใช้ได้ เราพบว่ามีการเปลี่ยนแปลงไฟล์บางไฟล์ index.php [แฮ็กเกอร์เพิ่มรหัสเข้าไป] get.php js / index.php js / lib / ccard.js lib / Varien / autoload.php และพวกเขายังติดตั้งโมดูลที่เรียกว่าระบบไฟล์ Magpleasure แต่หลังจากใช้แพทช์แล้วลบสิ่งที่แฮ็กเกอร์ที่เพิ่มเข้าไปในปัญหาแอปพลิเคชันของเราไม่ได้รับการแก้ไข แฮกเกอร์ในที่สุดก็เปลี่ยนไฟล์ 3 ไฟล์ get.php js / index.php js / lib / ccard.js มีอะไรที่เราขาดหายไปไหม จะป้องกันพวกเขาด้วยการโจมตีไฟล์ของเราได้อย่างไร? แพทช์ทำงานหรือไม่? ฉันจะตรวจสอบสิ่งนั้นได้อย่างไร

3
Magento CE 1.9.2 จะออกเมื่อใด
วันที่วางจำหน่ายสำหรับ Magento Community Edition 1.9.2 คืออะไร? ในโพสต์อย่างเป็นทางการของ Magento พวกเขากล่าวว่าจะมีการเปิดตัวใน "อีกไม่กี่สัปดาห์ข้างหน้า" ซึ่งค่อนข้างคลุมเครือ ไม่มีใครรู้วันที่ปล่อย (ไม่เป็นทางการ) หรือไม่? Magento EE 1.14.2 พร้อมใช้งานแล้วและฉันเห็นว่ามีโปรแกรมแก้ไขความปลอดภัยล่าสุดอยู่ในนั้นแล้ว เราได้อัปเดตโครงการพัฒนา EE 1.14.1 ปัจจุบันทั้งหมดของเราเป็น 1.14.2 แล้วและต้องการทำเช่นนั้นสำหรับโครงการ 1.9.1 CE ของเราโดยเร็วที่สุด ปรับปรุง: CE 1.9.1.1 เปิดตัวในวันที่ 1 พฤษภาคมและมีแพทช์ล่าสุด คำถามของฉันยังคงอยู่

5
ร้านวีโอไอพีไม่ปลอดภัย
เมื่อเร็ว ๆ นี้ฉันเข้าควบคุมฝ่ายบริหารของ Magento store เมื่อวานนี้เราได้รับอีเมลจาก บริษัท ไอทีที่ระบุว่าร้านค้าของเราไม่ปลอดภัย แม้ว่าฉันจะสงสัยความถูกต้องของอีเมล แต่ก็แสดงคำสั่งสุดท้ายในร้านค้าจำนวนลูกค้าที่ลงทะเบียนและผลิตภัณฑ์ที่เพิ่มล่าสุด เมื่อไม่นานมานี้ฉันกลายเป็นผู้ดูแลระบบหลังจากที่รับรู้ฉันไม่ทราบแน่ชัดว่ามาตรการความปลอดภัยใดถูกนำไปใช้ สิ่งต่อไปนี้ฉันรู้แน่นอน: มีเส้นทางที่กำหนดเองสำหรับแผงผู้ดูแลระบบ ข้อมูลถูกส่งผ่าน https รหัสผ่านของผู้ดูแลระบบคือสตริงที่มีตัวอักษรตัวพิมพ์เล็กหรือตัวพิมพ์ใหญ่สุ่ม หากเมลนี้ถูกต้องฉันจะแก้ไขปัญหานี้ได้อย่างไร

1
SQL injections ช่องโหว่เมื่อใช้โมเดล SQL ของ Zend Framework
เมื่อเข้าร่วมตารางฉันใช้โมเดล SQL ของ Zend Framework เช่นฉันปรับเปลี่ยนรหัสจริงของฉัน แต่ฉันคิดว่าคุณจะได้รับคะแนน: $this->getSelect()->join( array('sections' => $sectionsTableName), 'main_table.banner_id = pages.banner_id', array() ) ->where("sections.section= '$section' OR sections.section = '0' OR (sections.section = '6' AND ? LIKE main_table.url)",$url) ->group('main_table.banner_id'); หน้าถูกโหลดด้วยพารามิเตอร์ ajax และ $ section จะถูกส่งเป็นพารามิเตอร์ GET ( www.example.com/controllerName/index/display/3?paremeter1=example&section=www.example2.com) นี่คือปัญหาถ้าใครบางคนทำสิ่งนี้: www.example.com/controllerName/index/display/3?paremeter1=example&url=(SELECT 3630 FROM(SELECT COUNT(*),CONCAT(0x7170786a71,(SELECT (ELT(3630=3630,1))),0x717a716b71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY …

2
ทำไมการป้องกัน CSRF จึงจำเป็นสำหรับการสั่งซื้อสินค้า
วีโอไอพีมีตั้งแต่เวอร์ชันล่าสุดและform_keyเป็นส่วนหนึ่งของการกระทำเพื่อสั่งซื้อเพื่อป้องกันการโจมตีด้วย CSRF ฉันคิดว่า ดังนั้นตอนนี้ฉันสงสัยว่ามันจำเป็นสำหรับสถานที่แห่งนี้จริง ๆ หรือไม่และทำไมจึงพูดได้ดีกว่าว่าจะป้องกันสถานการณ์ใด

15
Security Patch SUPEE-10752 - ปัญหาที่เป็นไปได้หรือไม่
แพทช์รักษาความปลอดภัยใหม่ออกมาสำหรับ Magento 1 โดยระบุปัญหา 25 APPSEC https://magento.com/security/patches/supee-10752 ปัญหาทั่วไปที่คุณต้องระวังเมื่อใช้โปรแกรมแก้ไขนี้ SUPEE-10752, Magento Commerce 1.14.3.9 และ Open Source 1.9.3.9 มีการปรับปรุงความปลอดภัยหลายอย่างที่ช่วยปิดการเรียกใช้รหัสระยะไกล (RCE) ของผู้ดูแลระบบที่ผ่านการรับรองความถูกต้องการปลอมแปลงคำขอข้ามไซต์ (CSRF) และช่องโหว่อื่น ๆ ข้อมูลเกี่ยวกับการเปลี่ยนแปลงทั้งหมดในรุ่น 1.14.3.9 และ 1.9.3.9 มีอยู่ในบันทึกประจำรุ่นของ Magento Commerce และ Magento Open Source แพตช์และการอัปเกรดพร้อมใช้งานสำหรับ Magento รุ่นต่อไปนี้: Magento Commerce 1.9.0.0-1.14.3.9: SUPEE-10752 หรืออัพเกรดเป็น Magento Commerce 1.14.3.9 Magento Open Source 1.5.0.0-1.9.3.9: SUPEE-10752 หรืออัพเกรดเป็น …

1
SUPEE-9767 V2 ปัญหาที่เป็นไปได้และแก้ไขปัญหา
วีโอไอพีเพียงแค่ปล่อยรุ่นที่ปรับปรุงและSUPEE-9767Magento - CE 1.9.3.4 ดังนั้นคำถามของฉันซึ่งข้อบกพร่องได้รับการแก้ไขในV2และเราจะต้องใช้อีกครั้งถ้าเราใช้แล้วV2v1 และอะไรคือการเปลี่ยนแปลงใหม่ในCE 1.9.3.4มันเป็นเพียงการแก้ไขด้วยแพทช์รักษาความปลอดภัยใหม่หรือไม่? และข้อผิดพลาดใดที่ยังคงอยู่หลังจากv2รุ่นนี้

3
ฉันควรอัพเกรดหรือแก้ไข Magento หรือไม่
ฉันกำลังปรับปรุง Magento ด้วยแพตช์ล่าสุดและสงสัยว่ามันคุ้มค่าที่จะใช้ patch หรืออัพเกรดเป็นเวอร์ชั่นล่าสุดหรือไม่? เท่าที่ฉันสามารถบอกได้ว่าการเปลี่ยนแปลงเพียงอย่างเดียวดูเหมือนว่าเป็นแพทช์ที่รวมอยู่ในไฟล์ Magento? หรือฉันควรอัพเกรดจาก 1.9.1.1 เป็น 1.9.2.1

1
ตัวเตือนความปลอดภัยคอยติดตาม ... (SUPEE-5344 และ SUPEE-1533)
ฉันมีการติดตั้ง Magento หลายอย่างที่ฉันจัดการในนามของลูกค้าของเรา เราได้ทำการแก้ไขช่องโหว่แล้ว แต่คำเตือนยังคงดำเนินต่อไปเราเพิ่งได้รับคำเตือนครั้งที่สามในทุกไซต์ เรามีการปรับใช้สองรุ่น: 1.7.0.2 และ 1.9.1.0 เมื่อฉันติดตั้งเวอร์ชั่น 1.9 ฉันได้รับคำเตือนบ้าง แต่ฉันตรวจสอบว่ามีการใช้งานแพตช์โดยตรวจสอบ 'diff' ในไฟล์ sh กับรหัสจริง นอกจากนี้ฉันไม่สามารถใช้ SUPEE-1533 patch ได้เนื่องจากมีการเปลี่ยนแปลงใน 1.9.1.0 แล้ว ฉันพบที่อื่นว่าแพตช์นั้นมีเฉพาะสำหรับ 1.9.0.1 เฉพาะตัวเลข SUPEE-5344 ใน /app/etc/applied.patches.list ของฉัน ใน 1.7.0.2 เป็นปัญหาอื่น ฉันจัดการเพื่อใช้ทั้งสองแพตช์ แต่ SUPEE-5344 เรียกว่า SUPEE-5345 แทน .. คำเตือนยังคงดำเนินต่อไปและลูกค้ากำลังบ่นเกี่ยวกับพวกเขา ดูเหมือนว่าเราไม่ได้ใช้แพตช์ความปลอดภัยที่เราทำ ยัง: การตั้งชื่อของแพทช์เป็นบิต .. โชคร้าย SUPEE-5344 และ SUPEE-5345 นั้นมีชื่อสำหรับรุ่น …

1
Magento swf XSS ช่องโหว่ - วิธีแก้ไขได้อย่างไร
ตามช่องโหว่ SWF / Flash ที่อยู่ในรายการ: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/ ที่ฉันตรวจสอบแล้วยังคงมีอยู่ใน Magento 1.9.1.0 วิธีที่ดีที่สุดในการจัดการกับเรื่องนี้คืออะไร? มีปัญหาอะไรบ้างในการบล็อคหรือ จำกัด การเข้าถึงไฟล์ swf เหล่านี้?

4
ความเสี่ยงด้านความปลอดภัยของ require_once 'app / Mage.php'; ใน Magento root
ฉันมีไฟล์อยู่ในรูทวีโอไอพีของฉันrequire_once 'app/Mage.php';เพื่อให้ฉันสามารถเข้าถึงMage::getStoreConfigตัวแปรระบบได้ สิ่งนี้ทำให้เกิดความเสี่ยงด้านความปลอดภัยหรือไม่? ฉันควรวางไว้ในโฟลเดอร์อื่นหรือไม่? นี่คือไฟล์ของฉัน/twitter.php : <?php require_once 'app/Mage.php'; Mage::app(); $consumer_key = Mage::getStoreConfig("Social/twitterapi/consumer_key"); $consumer_secret = Mage::getStoreConfig("Social/twitterapi/consumer_secret"); $oauth_access_token = Mage::getStoreConfig("Social/twitterapi/access_token"); $oauth_access_token_secret = Mage::getStoreConfig("Social/twitterapi/access_token_secret");
12 security 

2
CSRF Attack & Session Hijack Vulnerability
จากบันทึกประจำรุ่น 1.8CE Alpha: วีโอไอพีสโตร์มีการป้องกันการปลอมแปลงคำขอข้ามไซต์ (CSRF) เพิ่มเติมซึ่งหมายความว่าผู้แอบอ้างไม่สามารถปลอมตัวเป็นลูกค้าใหม่ที่ลงทะเบียนและดำเนินการในนามของลูกค้าได้อีกต่อไป และ: ในเวอร์ชันก่อนหน้าวีโอไอพีเสี่ยงต่อการถูกโจมตีจากการตรึงเซสชั่นในระหว่างกระบวนการลงทะเบียน หลังจากเข้าสู่บัญชีของพวกเขา ID เซสชันของผู้ใช้ที่ลงทะเบียนแล้วจะไม่เปลี่ยนแปลง ดังนั้นหากผู้โจมตีมีความรู้เกี่ยวกับรหัสเซสชันที่ไม่ได้รับอนุญาตและหากผู้ใช้ลงทะเบียนสำเร็จผู้โจมตีก็สามารถเข้าใช้งานบัญชีที่ลงทะเบียนใหม่ได้ ตอนนี้รหัสเซสชันจะเปลี่ยนหลังจากลงทะเบียนสำเร็จทำให้ไม่สามารถใช้บัญชีโดยไม่ได้รับอนุญาต หากสิ่งนี้อยู่ในบันทึกย่อประจำรุ่นและฉันไม่เห็นจุดที่วางจำหน่ายในรุ่นก่อนหน้านี้ที่กล่าวถึงเรื่องนี้ (ฉันกำลังมองหาสถานที่ที่ไม่ถูกต้องหรือไม่) - นั่นหมายความว่าร้านค้า pre-1.8 ปัจจุบันเปิดทำการโจมตีเหล่านี้ เวกเตอร์ ? ที่มา: http://www.magentocommerce.com/knowledge-base/entry/ce-18-later-release-notes


โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.