针对magento1.9的存在安全风险的问题进行修补

最新推荐文章于 2022-10-31 14:18:00 发布
最新推荐文章于 2022-10-31 14:18:00 发布
阅读量449 收藏
点赞数
分类专栏: magento
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lolgigeo/article/details/104755765
版权

最近公司安排对网站进行渗透测试,经过一波沟通和对接,终于确定下了乙方公司。然后第一步就是进行ASV扫描,扫描后发现了几个问题,结合整改的方案记录如下:

电商系统底版为magento1.9.2,云端部署在aws上。

a、 SSL/TLS Server supports TLSv1.0
解决办法:在elb中更换高版本的tls协议;
验证:nmap --script ssl-enum-ciphers -p 443 www.xxxx.com

b、HTTP Security Header Not Detected
解决办法:nginx.conf添加以下配置并reload
add_header X-Frame-Options SAMEORIGIN;
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
验证:
curl -I www.xxx.com

c、Session Cookie Does Not Contain the "Secure" Attribute
解决办法:app\code\core\Mage\Core\Model\Cookie.php
更改isSecure如下:
public function isSecure()
    {
       return $this->_getRequest()->isSecure();
    }
验证:
https下验证是否成功

d、Cookie Does Not Contain The "secure" Attribute
解决办法:如c

lolgigeo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
风险通告】Adobe Magento 远程代码执行漏洞
爱国小白帽
10-21 602
[金山云安全](javascript:void(0)???? 今天 近日,金山云安全应急响应中心监测到,Adobe官方发布了CVE-2020-24407远程代码执行及CVE-2020-24400: SQL注入漏洞通告。 该漏洞风险等级为高危,请相关用户尽快将Magento Commerce/Open Source升级到最新版本,做好资产自查工作,避免遭受不必要的损失。 漏洞描述 Magento是一套专业开源的电子商务系统。本次Adobe官方发布安全公告披露了的 CVE-2020-24407远程代码执行、CV
magento登陆问题
观察者
12-30 470
magento登陆不了后台,经过研究发现,登陆不了magento后台主要是因为magento自身缓存设置的问题,解决方法如下: magento登陆不了后台可以尝试以下几种方法解决: 打开文件 app/code/core/Mage/Core/Model/Session/Abstract/Varien.php 找到代码: session_set_cookie_params(
漏洞修复---Session Cookie Does Not Contain the “Secure“ Attribute和HTTP Security Header Not Detected
Q先生
10-31 1590
漏洞修复---Session Cookie Does Not Contain the "Secure" Attribute和HTTP Security Header Not Detected
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识
New World
07-26 2456
http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/  What is it and why do I care ? Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.
shopme:magento 1.9 商店
06-23
在这个名为 "shopme" 的项目中,我们看到一个基于 Magento 1.9 构建的商店实例,这可能包括自定义主题、插件、以及针对特定业务需求的配置。 在着手安装 "shopme" 之前,有几个关键知识点需要了解: 1. **Magento ...
magento 1.9.0.2
12-20
然而,值得注意的是,Magento 1.9.x系列目前已经不再接收官方的安全更新,因此使用这个版本可能存在安全隐患。为了保持系统的安全性和合规性,建议升级到Magento 2或更高版本。 在实际应用中,解压的文件“magento...
magento 1.9.0.1
10-12
1. 安全补丁:Magento 1.9.0.1会定期发布安全补丁,以修复已知漏洞,保护商家和客户的敏感信息。 2. SSL支持:强制使用HTTPS加密,确保数据传输安全。 四、性能优化: 1. 缓存管理:Magento提供页面缓存、数据库...
Magento 1.9.1.0 俄罗斯语言包
01-28
这个俄罗斯语言包是针对 Magento 1.9.1.0 版本设计的,目的是为了让俄罗斯用户在使用 Magento 商店时能够享受母语环境,提升用户体验,从而增加销售和客户满意度。 语言包的安装和使用涉及到以下几个关键知识点: ...
magento1-vsbridge:在Magento 1.9之上运行Progressive Web App(PWA)。 这是Magento 1.x的Vue店面桥。 麻省理工学院执照
05-22
Vue店面对Magento 1.9的支持该项目使您能够将Magento 1.9用作的后端平台。 Vue店面是电子商务的独立PWA店面。 可以通过API与任何电子商务后端(例如Magento,Pimcore,Prestashop或Shopware)联系起来。 在 (与...
magento中的启用https
曾健生的专栏
04-24 7842
Magento的后台管理中 General->web->secure , 有安全链接的设置,所谓安全链接,是指启用了https 协议的链接。 百度百科中关于https的介绍( http://baike.baidu.com/view/14121.htm ) HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),
再析cookie和session
weixin_34133829的博客
01-05 74
title: 再析cookie和session tags: cookie session 同源 单点 categories: 工作日志 date: 2017-11-23 14:15:04 背景 由于目前用到基于cookie做的单点登录产品有必要对于cookie和session机制加深理解 问题 Q:什么是Cookie?什么是Session?为什么要有cookie? A:个人理解如下: 服...
加密会话(SSL)Cookie中缺少Secure属性解决方案
热门推荐
qq_36956015的博客
01-03 1万+
系统进行漏洞扫描时,出现“加密会话(SSL)Cookie中缺少Secure属性”问题,如下图: 解决办法: 1)先配置请求到服务的协议(nginx到服务)schema为https; 2)添加filter设置,如下: @Override public void doFilter(ServletRequest req, ServletResponse resp, FilterChain ch...
在使用谷歌时发现一个诡异问题cookie传不过去
老李的博客
07-29 9691
在使用谷歌时发现一个诡异问题cookie传不过去 查找相关资料发现这是谷歌的一个新属性SameSite导致的, SameSite 属性 Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。 它可以设置三个值。 Strict Lax None 2.1 Strict Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。 Set-Cookie: CookieName
magento批量导入评论
weixin_34221112的博客
06-05 255
2019独角兽企业重金招聘Python工程师标准>>> ...
java cookie secure_加密会话(SSL)Cookie 中缺少 Secure 属性
weixin_33238272的博客
02-23 3196
加密会话(SSL)Cookie 中缺少 Secure 属性AppScan 发现加密会话(SSL)使用的是没有“secure”属性的 cookie。因为不想修改后端代码,因此希望能从nginx上将其修复。没修复之前没修复之前,这个cookie是没有secure参数的,如上图,上面的那些secure则是我在添加了一个 add_header Set-Cookie “Secure”; 获得的,虽然网上大部...
是选择Magento 1 还是 Magento 2?
chuanchijin4661的博客
02-28 258
  Magento 2 是全新版本的 Magento, 全新的架构令其代码上不兼容于过去版本,关于Magento 1 和Magento 2之间的选择我们的建议如下:已在Magento 1 有网站的商家建议留在Magento1, 升级至1.9CE. 新建网站, 如果订制部分较少或者预算较充裕的情...
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案
backerli的博客
09-25 5035
NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案 1 / 说明 基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送
nginx+tomcat服务器配置(秒杀安全扫描)
ERIZHU的博客
04-17 1500
nginx配置修改1.解决配置limit_conn_zone来限制并发连接数      在http处添加      limit_conn_zone $binary_remote_addr zone=perip:10m;      limit_conn_zone $server_name zone=perserver:10m;2.解决 Slow HTTP POST vulnerability(150...
magento2.45安装教程和数据迁移教程
最新发布
02-09
Magento2.45是一款强大的电商平台,为用户提供了丰富的功能和灵活的定制选项。然而,要想顺利地安装和使用Magento2.45,需要严格遵循其安装和数据迁移教程。本文主要讨论了Magento2.45的安装方法以及数据迁移过程,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值