Questions tagged «security»

几天前消息传出后，关于最新漏洞，我还没有听到太多-也没有官方声明。Sucuri说有可能接收信用卡信息，甚至所有$_POST数据，包括管理员密码等。 我还没有遇到过客户端被黑客入侵的情况，但是不想等到这种情况发生时才采取行动。有人看过补丁吗？

11 security  magento-ce 

我已经创建了一个包含一些页面的模块，并且想知道如何强制该页面在URL上使用SSL，例如客户登录页面。并非所有页面都需要它，但是有些页面需要。 我想到的（尽管我还没有尝试过）是评估动作控制器中的URL并重定向到https://是否在magento config中启用了SSL且当前URL未使用它。 这种方法正确吗？还是这种设置进入配置文件？

11 url  controllers  module  security  ssl 

我的商店可以使用最新版本的Magento（当前为2.1.1）正常运行，并且正在尝试通过Apache 2.4.7（Ubuntu 14.04）上的内容安全策略来提高安全性。我已经从内容页面中删除了所有“ <script>”标记，并创建了单独的files.js。 关于Apache的安全性，我设置了： 标头设置了Content-Security-Policy“ default-src'self'” 但是，它不起作用。Magento本身似乎添加了一些“ <script>”标签。最初的源代码行中的示例： <！doctype html> <html lang =“ pt-BR”> <头> <脚本> var require = { “ baseUrl”：“ http://example.com/pub/static/frontend/Magento/luma/pt_BR ” }; </脚本> 因此在我看来，为了配置CSP，我必须启用“ unsafe-inline”，这毕竟不是真正的安全。 标头设置了Content-Security-Policy“ default-src'self'script-src'self''unsafe-inline''unsafe-eval'”。 有谁知道如何使用CSP正确设置Magento？谢谢！

10 magento-2.1  security  apache2 

Magento中通过IP限制对管理区域的访问的最佳方法是什么？请记住，管理员可以通过/admin或index.php/admin

10 admin  security  htaccess 

我很好奇，这仅是出于智力目的。 通过谷歌搜索，我找不到确切的答案，所以正如主题所说，为什么不建议这样做？有什么问题吗？ 我得到的唯一参考是关于此处发布的安全警告的信息：http : //www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ 来自早期版本magento。 我们注意到，在非常特定的条件下，Magento 1.0到1.0.19870中存在一个安全问题，该问题可能导致无效链接输入到块缓存中。 有人可以澄清这是什么/如何工作的，这仍然是一个问题。 TIA

10 security  base-url 

我正在尝试安装新发布的magento 1.9安全补丁。我正在窗户系统上工作。 我收到以下错误。 D:\xampp\htdocs\magento>sh PATCH_SUPEE-1533_EE_1.13.x_v1-2015-02-10-08-18-32.sh ERROR: "/app/etc/" must exist for proper tool work. 我正在通过CMD运行命令并且SH也正常工作 我也尝试过Git。但是得到同样的错误 在Linux上也不行 谁能告诉我确切的问题是什么以及如何解决。 谢谢

9 magento-1.9  upgrade  security  patches  shell 

Magento 2中有没有一种方法可以检查已应用的补丁程序状态？ 就像我们可以在Magento 1的Magereport中检查补丁状态一样？

8 magento2  patches  security  version 

我注意到类vendor/magento/framework/Escaper.php，其中包含一些（主要是）模板内部使用的有用的安全方法。其中一些很常见（escapeHtml()），但其中一些很难遇到。 什么方法escapeXssInUrl()真正起作用？ 如果是方法escapeJsQuote()-在哪里可以找到这些引号？仅内联js模板？ 当应使用所有方法时（实践示例），有人对它有清晰的解释吗？ 是什么之间的差异escapeUrl()和escapeXssInUrl()，如果第二个赠款我们更好的安全性，为什么不总是使用第二个，而不是仅逃逸HTML字符？ escapeQuote()应该用于例如在<div value="<?php echo[[here？] 这样的情况下回显某些变量$value?>"></div>？

8 magento2  template  security 

我正在设置一个magento网站，但我注意到的一件事是https只能用于安全内容，例如登录页面和帐户详细信息等。 这意味着在产品页面上使用常规http。 这是否意味着通过http传输的cookie容易受到任何cookie嗅探程序的窃取？ 还是Magento通过不发送cookie并获取默认页面，然后使用本地cookie更改标题以包含自定义名称和个人资料图片等来处理这些页面。

8 magento-1.9  security  cookie  https 

因此，我刚刚SUPEE-5994 + SUPEE-5344 + SUPEE-1533在服务器上通过SSH 安装了最新的重要补丁。 我执行了以下步骤来安装每个补丁： 从以下位置下载了修补程序：https : //www.magentocommerce.com/products/downloads/magento/ 将每个补丁上传到我的Magento根文件夹 运行SSH命令： sh patch_name.sh 从控制台获得成功消息： Patch was applied/reverted successfully 我的网站正常工作，一切都很好。一切都立即安装。 可以说我对是否实际安装了DID补丁感到怀疑-是否可以检查已安装了哪些补丁？-是通过SSH，FTP还是类似的？

8 magento-1.9  upgrade  security  patches 

我们的客户非常关注在第三方模块中引入的恶意代码，尤其是来自Magento Connect的模块（或任何免费模块），他们希望使用其中一个模块，但希望确保该模块能够不包含允许黑客访问其Magento网站不同部分的代码。 我的问题是：有没有一种我们可以用来扫描代码内容的工具？像这样，但可能更深入。 function check($contents,$file) { $this->scanned_files[] = $file; if(preg_match('/eval\((base64|eval|\$_|\$\$|\$[A-Za-z_0-9\{]*(\(|\{|\[))/i',$contents)) { $this->infected_files[] = $file; } } 甚至可以在Web服务器上运行的服务。 理想的情况是，如果有一个服务可以在代码进入存储库之前扫描每个提交，那将是理想的选择。

8 php  magento-connect  extensions  security 

它似乎是在管理员操作（例如目录保存/编辑）时启动的。如日志中所示。POST的客户端IP是服务器的内部IP。 302 2014-08-30T06:43:40+00:00 POST /index.php/admin/catalog_product/save/id/8830/key/ee3cb37b55e431ada508af992e88abbb/ HTTP/1.1 403 2014-08-30T06:43:40+00:00 POST /app/etc/local.xml HTTP/1.1 200 2014-08-30T06:48:39+00:00 GET /index.php/admin/catalog_product/edit/id/8830/key/e5c6b7e5d662d8b4c39be5b31b761f28/ HTTP/1.1 403 2014-08-30T06:48:39+00:00 POST /app/etc/local.xml HTTP/1.1

8 security