在现今的网络中,没有100%的安全性.特别是针对网上购物程序来说,安全性至关重要.
就连Magento这个庞然大物来说.也是有漏洞可循的.
Magento一直以安全著称.但是也出现了比个比较严重的漏洞.
我就拿两个来说说.
漏洞一 此漏洞需要一定的权限,有点不太好搞)
影响版本:
Magento 1.3.2.4
漏洞分析:
在执行添加产品、添加客户组、添加属性集的根目录等操作时,Magento没有正确地过滤用户提交给Name、Product SKU、Group Name、Class Name、Tax Identifier、Poll Question、Answer Title等字段的输入参数。远程攻击者可以在上述字段中注入任意HTML和脚本代码,用户查看恶意内容时就会在浏览器会话中执行注入的内容。
漏洞二.(此漏洞可以直接爆出源码,比如mysql密码这些.但是受影响范围小)
影响版本:
Magento 1.5.0.0
漏洞分析:
由于图片存储模块(Magento CDN model)的改进导致一个潜在的安全漏洞.
利用方法:
Shockingly there is a file called get.php in a root of Magento. OK, that fact alone is not that shocking.
Try running something like http://{{unsecure_base_url}}/get.php/app/etc/local.xml where {{unsecure_base_url}} is your test host/domain. It will nicely return entire content of the config.xml file.
Even the demo site http://demo.magentocommerce.com will show you full database user/password info
上面的内容并不是告诉大家Magento安全性不好.而是告诉大家Magento安全性非常好.开源对购物程序来说,是非常不妙的一件事.也是非常好的一件事.
开源,大家就能找出程序的漏洞,并加以利用.正因为开源,漏洞也能被及时发现.
今天我要教大家的事,是通过自己的设置.达到,就算被0day袭击.也能安全无恙.
安全基础设置一:为自己的数据库加上表前缀. Magento安装过程中就能自己设置.这个就不多讲.
安全基础设置二:更改后台地址.修改downloader地址(一般都会修改后台地址,而忽略了downloader地址).
安全基础设置三:后台使用与域名或者其他网站不同的用户名以及密码.
安全基础设置四:修改ftp,ssh密码.不要与域名相关,切英文数字混杂.
安全基础设置五:使用ssl访问后台以及checkout页面.
通过以上的设置,你的网站基本上能防止初级以及中级的黑客了.
通过下面的设置,你将防御99.99%的攻击.
Magento安全高级设置一:修改类名,以及url. 此剑一出.高级黑客也没办法.. 明明知道有漏洞,却只能干瞪眼.
Magento安全高级设置二:重写以及分析第三方扩展的安全性. 比较狠吧.
Magento安全高级设置三:web DB分离. 更改默认文件放置位置.一些不必要的文件夹,不要放在public下.有效保证数据库的安全.
Magento安全高级设置四:修改Magento密码的加密方式.Magento默认是MD5加密的.大家可以稍做修改.
Magento安全高级设置五:限制访问后台IP,公司统一用VPN进入
服务器的安全设置不在本blog讨论范围之内. 相信我,用上面的办法可以防止99.99%的专业黑客入侵.
还有0.01%,就要从自己公司内部解决了.. 毕竟社会工程学也是黑客入侵的手段.这个没有办法从程序上来阻止.
来自:http://www.ecartchina.com/magento-security-settings.html