Saya baca informasi mengenai penyerangan pada Opencart pada bagian CSRF .
Solusinya ada disini : http://forum.opencart.com/viewtopic.php?f=31&t=20659
Bug ini utk OC 1.4.8 - 1.4.9.1 & Mr.Daniel sdh melakukan perbaikan langsung utk OC 1.5.0
Versi asli infonya disini http://linsux.org/forum/index.php?/topi ... disclosure
Versi indonesia (hasil translate oom google) --> Hanya sedikit yg di copy
OpenCart adalah sumber-terbuka (GPL v3) sistem keranjang belanja ditulis dalam PHP.
Aku tidak pernah mendengar hal itu hingga saat ini. Beberapa komentar pada artikel ini dari. jerkface bersih membuat saya ingin check it out.
Salah satu komentar menunjukkan percakapan antara seorang pria yang menemukan bahwa tidak ada perlindungan CSRF di OpenCart, dan pengembang OpenCart yang mengatakan itu bukan kesalahan OpenCart's.
Bagi mereka yang tidak tahu apa CSRF, di sini adalah penjelasan singkat. Bayangkan bahwa seorang admin dari sebuah website OpenCart bertenaga (katakanlah opencartsite.com) adalah login ke panel administrasi situs nya. Ia mengunjungi situs lain (katakanlah evilsite.com). Evilsite.com dapat membuat browser admin membuat permintaan untuk opencartsite.com dengan memiliki link ke sebuah URL di opencartsite.com dan membuat browser secara otomatis mengikutinya (menggunakan javascript beberapa misalnya). Jadi, evilsite.com bisa mengubah setting dari opencartsite.com menggunakan browser admin sebagai seorang perantara.
Kebanyakan situs dilindungi dari serangan ini. Berikut adalah caranya: ketika admin log in, rahasia token dihasilkan dan disimpan ke dalam sesi admin. Setiap bentuk yang dihasilkan oleh situs tersebut mencakup, dalam field tersembunyi, token rahasia. Bila menggunakan formulir dikirimkan, cek situs cuaca token yang diterima melalui formulir sesuai dengan token disimpan dalam sesi admin. Jika tidak, aksi dibatalkan. Sekarang, dalam contoh kita, evilsite.com tidak tahu tanda rahasia (dan tidak memiliki cara untuk mengetahui itu), dan dengan demikian tidak dapat melakukan tindakan di opencartsite.com.
