Questions tagged «security»

表示有关Magento的安全性问题。

3
应对最新漏洞:信用卡数据被盗怎么办?
几天前消息传出后,关于最新漏洞,我还没有听到太多-也没有官方声明。Sucuri说有可能接收信用卡信息,甚至所有$_POST数据,包括管理员密码等。 我还没有遇到过客户端被黑客入侵的情况,但是不想等到这种情况发生时才采取行动。有人看过补丁吗?

1
如何使我的自定义模块页面使用SSL?
我已经创建了一个包含一些页面的模块,并且想知道如何强制该页面在URL上使用SSL,例如客户登录页面。并非所有页面都需要它,但是有些页面需要。 我想到的(尽管我还没有尝试过)是评估动作控制器中的URL并重定向到https://是否在magento config中启用了SSL且当前URL未使用它。 这种方法正确吗?还是这种设置进入配置文件?

1
Magento 2.1.1-通过内容安全策略提高安全性
我的商店可以使用最新版本的Magento(当前为2.1.1)正常运行,并且正在尝试通过Apache 2.4.7(Ubuntu 14.04)上的内容安全策略来提高安全性。我已经从内容页面中删除了所有“ <script>”标记,并创建了单独的files.js。 关于Apache的安全性,我设置了: 标头设置了Content-Security-Policy“ default-src'self'” 但是,它不起作用。Magento本身似乎添加了一些“ <script>”标签。最初的源代码行中的示例: <!doctype html> <html lang =“ pt-BR”> <头> <脚本> var require = { “ baseUrl”:“ http://example.com/pub/static/frontend/Magento/luma/pt_BR ” }; </脚本> 因此在我看来,为了配置CSP,我必须启用“ unsafe-inline”,这毕竟不是真正的安全。 标头设置了Content-Security-Policy“ default-src'self'script-src'self''unsafe-inline''unsafe-eval'”。 有谁知道如何使用CSP正确设置Magento?谢谢!


2
为什么不建议在生产服务器中使用{{base_url}}?
我很好奇,这仅是出于智力目的。 通过谷歌搜索,我找不到确切的答案,所以正如主题所说,为什么不建议这样做?有什么问题吗? 我得到的唯一参考是关于此处发布的安全警告的信息:http : //www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ 来自早期版本magento。 我们注意到,在非常特定的条件下,Magento 1.0到1.0.19870中存在一个安全问题,该问题可能导致无效链接输入到块缓存中。 有人可以澄清这是什么/如何工作的,这仍然是一个问题。 TIA

1
错误:“ / app / etc /”必须存在才能正常工作magento 1.9
我正在尝试安装新发布的magento 1.9安全补丁。我正在窗户系统上工作。 我收到以下错误。 D:\xampp\htdocs\magento>sh PATCH_SUPEE-1533_EE_1.13.x_v1-2015-02-10-08-18-32.sh ERROR: "/app/etc/" must exist for proper tool work. 我正在通过CMD运行命令并且SH也正常工作 我也尝试过Git。但是得到同样的错误 在Linux上也不行 谁能告诉我确切的问题是什么以及如何解决。 谢谢


2
使用不同的转义方法
我注意到类vendor/magento/framework/Escaper.php,其中包含一些(主要是)模板内部使用的有用的安全方法。其中一些很常见(escapeHtml()),但其中一些很难遇到。 什么方法escapeXssInUrl()真正起作用? 如果是方法escapeJsQuote()-在哪里可以找到这些引号?仅内联js模板? 当应使用所有方法时(实践示例),有人对它有清晰的解释吗? 是什么之间的差异escapeUrl()和escapeXssInUrl(),如果第二个赠款我们更好的安全性,为什么不总是使用第二个,而不是仅逃逸HTML字符? escapeQuote()应该用于例如在<div value="<?php echo[[here?] 这样的情况下回显某些变量$value?>"></div>?

1
magento http / https是否安全?还是应该强迫整个网站使用https?
我正在设置一个magento网站,但我注意到的一件事是https只能用于安全内容,例如登录页面和帐户详细信息等。 这意味着在产品页面上使用常规http。 这是否意味着通过http传输的cookie容易受到任何cookie嗅探程序的窃取? 还是Magento通过不发送cookie并获取默认页面,然后使用本地cookie更改标题以包含自定义名称和个人资料图片等来处理这些页面。

6
如何检查是否已安装Magento补丁?
因此,我刚刚SUPEE-5994 + SUPEE-5344 + SUPEE-1533在服务器上通过SSH 安装了最新的重要补丁。 我执行了以下步骤来安装每个补丁: 从以下位置下载了修补程序:https : //www.magentocommerce.com/products/downloads/magento/ 将每个补丁上传到我的Magento根文件夹 运行SSH命令: sh patch_name.sh 从控制台获得成功消息: Patch was applied/reverted successfully 我的网站正常工作,一切都很好。一切都立即安装。 可以说我对是否实际安装了DID补丁感到怀疑-是否可以检查已安装了哪些补丁?-是通过SSH,FTP还是类似的?

6
扫描Magento代码中恶意内容的工具
我们的客户非常关注在第三方模块中引入的恶意代码,尤其是来自Magento Connect的模块(或任何免费模块),他们希望使用其中一个模块,但希望确保该模块能够不包含允许黑客访问其Magento网站不同部分的代码。 我的问题是:有没有一种我们可以用来扫描代码内容的工具?像这样,但可能更深入。 function check($contents,$file) { $this->scanned_files[] = $file; if(preg_match('/eval\((base64|eval|\$_|\$\$|\$[A-Za-z_0-9\{]*(\(|\{|\[))/i',$contents)) { $this->infected_files[] = $file; } } 甚至可以在Web服务器上运行的服务。 理想的情况是,如果有一个服务可以在代码进入存储库之前扫描每个提交,那将是理想的选择。

1
为什么Magento POST到自己的/app/etc/local.xml?
它似乎是在管理员操作(例如目录保存/编辑)时启动的。如日志中所示。POST的客户端IP是服务器的内部IP。 302 2014-08-30T06:43:40+00:00 POST /index.php/admin/catalog_product/save/id/8830/key/ee3cb37b55e431ada508af992e88abbb/ HTTP/1.1 403 2014-08-30T06:43:40+00:00 POST /app/etc/local.xml HTTP/1.1 200 2014-08-30T06:48:39+00:00 GET /index.php/admin/catalog_product/edit/id/8830/key/e5c6b7e5d662d8b4c39be5b31b761f28/ HTTP/1.1 403 2014-08-30T06:48:39+00:00 POST /app/etc/local.xml HTTP/1.1
8 security 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.