883
Magento安全設置
在現今的網絡中,沒有100%的安全性.特別是針對網上購物程序來說,安全性至關重要.
就連Magento這個龐然大物來說.也是有漏洞可循的.
Magento一直以安全著稱.但是也出現了比個比較嚴重的漏洞.
我就拿兩個來說說.
漏洞一
此漏洞需要一定的權限,有點不太好搞)
影響版本:
Magento 1.3.2.4
漏洞分析:
在執行添加產品、添加客戶組、添加屬性集的根目錄等操作時,Magento沒有正確地過濾用戶提交給Name、Product
SKU、Group Name、Class Name、Tax Identifier、Poll Question、Answer
Title等字段的輸入參數。遠程攻擊者可以在上述字段中注入任意HTML和腳本代碼,用戶查看惡意內容時就會在瀏覽器會話中執行注入的內容。
漏洞二.(此漏洞可以直接爆出源碼,比如mysql密碼這些.但是受影響範圍小)
影響版本:
Magento
1.5.0.0
漏洞分析:
由於圖片存儲模塊(Magento CDN
model)的改進導致一個潛在的安全漏洞.
利用方法:
Shockingly there is a file
called get.php in a root of Magento. OK, that fact alone is not that
shocking.
Try running something like
https://{{unsecure_base_url}}/get.php/app/etc/local.xml where
{{unsecure_base_url}} is your test host/domain. It will nicely return entire
content of the config.xml file.
Even the demo site
https://demo.magentocommerce.com will show you full database user/password
info
上麵的內容並不是告訴大家Magento安全性不好.而是告訴大家Magento安全性非常好.開源對購物程序來說,是非常不妙的一件事.也是非常好的一件事.
開源,大家就能找出程序的漏洞,並加以利用.正因為開源,漏洞也能被及時發現.
今天我要教大家的事,是通過自己的設置.達到,就算被0day襲擊.也能安全無恙.
安全基礎設置一:為自己的數據庫加上表前綴. Magento安裝過程中就能自己設置.這個就不多講.
安全基礎設置二:更改後台地址.修改downloader地址(一般都會修改後台地址,而忽略了downloader地址).
安全基礎設置三:後台使用與域名或者其他網站不同的用戶名以及密碼.
安全基礎設置四:修改ftp,ssh密碼.不要與域名相關,切英文數字混雜.
安全基礎設置五:使用ssl訪問後台以及checkout頁麵.
通過以上的設置,你的網站基本上能防止初級以及中級的黑客了.
通過下麵的設置,你將防禦99.99%的攻擊.
Magento安全高級設置一:修改類名,以及url. 此劍一出.高級黑客也沒辦法.. 明明知道有漏洞,卻隻能幹瞪眼.
Magento安全高級設置二:重寫以及分析第三方擴展的安全性. 
比較狠吧.
Magento安全高級設置三:web DB分離. 更改默認文件放置位置.一些不必要的文件夾,不要放在public下.有效保證數據庫的安全.
Magento安全高級設置四:修改Magento密碼的加密方式.Magento默認是MD5加密的.大家可以稍做修改.
Magento安全高級設置五:限製訪問後台IP,公司統一用VPN進入
服務器的安全設置不在本blog討論範圍之內. 相信我,用上麵的辦法可以防止99.99%的專業黑客入侵.
還有0.01%,就要從自己公司內部解決了.. 畢竟社會工程學也是黑客入侵的手段.這個沒有辦法從程序上來阻止.
來自:https://www.ecartchina.com/magento-security-settings.html
最後更新:2017-04-02 06:51:38