在現今的網路中,沒有100%的安全性.特別是針對網上購物程式來說,安全性至關重要.
就連magento這個龐然大物來說.也是有漏洞可循的.
magento一直以安全著稱.但是也出現了比個比較嚴重的漏洞.
我就拿兩個來說說.
漏洞一 此漏洞需要一定的許可權,有點不太好搞)
影響版本:
magento 1.3.2.4
漏洞分析:
在執行新增產品、新增客戶組、新增屬性集的根目錄等操作時,magento沒有正確地過濾使用者提交給name、product sku、group name、class name、tax identifier、poll question、answer title等字段的輸入引數。遠端攻擊者可以在上述欄位中注入任意html和指令碼**,使用者檢視惡意內容時就會在瀏覽器會話中執行注入的內容。
漏洞二.(此漏洞可以直接爆出原始碼,比如mysql密碼這些.但是受影響範圍小)
影響版本:
magento 1.5.0.0
漏洞分析:
由於儲存模組(magento cdn model)的改進導致乙個潛在的安全漏洞.
利用方法:
上面的內容並不是告訴大家magento安全性不好.而是告訴大家magento安全性非常好.開源對購物程式來說,是非常不妙的一件事.也是非常好的一件事.
開源,大家就能找出程式的漏洞,並加以利用.正因為開源,漏洞也能被及時發現.
今天我要教大家的事,是通過自己的設定.達到,就算被0day襲擊.也能安全無恙.
安全基礎設定一:為自己的資料庫加上表字首. magento安裝過程中就能自己設定.這個就不多講.
安全基礎設定二:更改後台位址.修改**********位址(一般都會修改後台位址,而忽略了**********位址).
安全基礎設定三:後台使用與網域名稱或者其他**不同的使用者名稱以及密碼.
安全基礎設定四:修改ftp,ssh密碼.不要與網域名稱相關,切英文數字混雜.
安全基礎設定五:使用ssl訪問後台以及checkout頁面.
通過以上的設定,你的**基本上能防止初級以及中級的黑客了.
通過下面的設定,你將防禦99.99%的攻擊.
magento安全高階設定一:修改類名,以及url. 此劍一出.高階黑客也沒辦法.. 明明知道有漏洞,卻只能乾瞪眼.
magento安全高階設定二:重寫以及分析第三方擴充套件的安全性. 比較狠吧.
magento安全高階設定三:web db分離. 更改預設檔案放置位置.一些不必要的資料夾,不要放在public下.有效保證資料庫的安全.
magento安全高階設定四:修改magento密碼的加密方式.magento預設是md5加密的.大家可以稍做修改.
magento安全高階設定五:限制訪問後台ip,公司統一用vpn進入
伺服器的安全設定不在本blog討論範圍之內. 相信我,用上面的辦法可以防止99.99%的專業黑客入侵.
還有0.01%,就要從自己公司內部解決了.. 畢竟社會工程學也是黑客入侵的手段.這個沒有辦法從程式上來阻止.
Magento郵件傳送完美設定
本文 magen toeye 由鵬城萬里發布的 magento郵件傳送完美設定 magento新站上線伊始,不料在郵件上遇到了問題。此時常用的郵件模板已經編輯完畢,諸如new account,new order,password forget等。centos下傳送郵件很簡單的,只需安裝sendmai...
Magento2模式設定
magento有三種執行模式,按效能由低到高,依次為 developer default production 可以使用以下命令檢視當前執行模式 bin magento deploy mode show使用以下命令設定執行模式 bin magento deploy mode set develope...
magento 設定滿多少免運費
第一步,到後台配置system configuration shipping methods free shipping,開啟免運費,並為最低訂單金額設定乙個很大的數 大到正常訂單不可能達到 當然你也可以直接在這裡設定滿多少的那個金額值,只不過這裡不夠靈活,最好用購物車 規則來設定免運費,這裡的第一...