Запитання з тегом «security»

Позначає питання безпеки на Magento.

15
SUPEE-10975 Потенційні проблеми
SUPEE-10975 був випущений, було б чудово знати, якщо хтось стикається з будь-якими проблемами, намагаючись застосувати це, чи буде це конфлікт із останнім виправленням, який додає підтримку 7.2? Поки що це змінені файли, які я бачу app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php app/code/core/Mage/Adminhtml/Block/Newsletter/Template/Edit.php app/code/core/Mage/Adminhtml/controllers/Cms/BlockController.php app/code/core/Mage/Adminhtml/controllers/Customer/GroupController.php app/code/core/Mage/Adminhtml/controllers/SitemapController.php app/code/core/Mage/Adminhtml/controllers/System/BackupController.php app/code/core/Mage/Captcha/Model/Observer.php app/code/core/Mage/Captcha/Model/Zend.php app/code/core/Mage/Captcha/etc/config.xml app/code/core/Mage/Catalog/Model/Api2/Product/Image/Rest/Admin/V1.php app/code/core/Mage/Catalog/Model/Product/Attribute/Media/Api.php app/code/core/Mage/Cms/Model/Wysiwyg/Images/Storage.php app/code/core/Mage/Core/etc/config.xml app/code/core/Mage/Core/sql/core_setup/upgrade-1.6.0.7.1.1-1.6.0.7.1.2.php app/code/core/Mage/Dataflow/Model/Convert/Container/Abstract.php …


2
Magento зламали навіть після накладеного виправлення
За кілька днів до мого сайту спільноти Magento видання 1.8.1 зламується, тому що ми запізнюємося застосувати виправлення . ми виявили, що певні файли були змінені index.php [хакери додали до нього якийсь код]. get.php js / index.php js / lib / ccard.js lib / Varien / Autoload.php А також вони встановили …

3
Коли Magento CE 1.9.2 буде випущений?
Яка дата виходу Magento Community Edition 1.9.2? У офіційному посту Magento кажуть, що він буде випущений "протягом найближчих кількох тижнів", що є дещо невиразним. Хтось знає (неофіційну) дату випуску? Magento EE 1.14.2 вже доступний, і я бачив, що всі останні виправлення безпеки вже є. Ми вже оновили всі наші діючі …

5
Магазин Magento не захищений
Нещодавно я взяв на себе управління магазином Magento. Вчора ми отримали електронну пошту від ІТ-компанії, в якій сказано, що наш магазин не захищений. Навіть якщо я сумніваюся у законності електронної пошти, вона показувала останнє замовлення в магазині, кількість зареєстрованих клієнтів та останній доданий товар. Оскільки я нещодавно став адміністратором, після …

2
Чому для доповнення до кошика потрібен захист CSRF?
Magento з останніх версій є form_keyчастиною дії, що додається до кошика, щоб захистити від я думаю, що атаки CSRF. Тож зараз мені цікаво, чи справді це потрібно для цього місця, і чому, або краще сказати, проти яких конкретних сценаріїв воно має захищати.

1
Уразливості введення SQL при використанні моделей SQL Zend Framework
Приєднуючись до таблиць, я використовую SQL-моделі Zend Framework. Як приклад я змінив власний код, але думаю, що ви зрозумієте: $this->getSelect()->join( array('sections' => $sectionsTableName), 'main_table.banner_id = pages.banner_id', array() ) ->where("sections.section= '$section' OR sections.section = '0' OR (sections.section = '6' AND ? LIKE main_table.url)",$url) ->group('main_table.banner_id'); Сторінка завантажується ajax, а параметр $ section …

15
Патч безпеки SUPEE-10752 - Можливі проблеми?
Новий виправлення безпеки для Magento 1 вирішує 25 проблем APPSEC https://magento.com/security/patches/supee-10752 На які найпоширеніші проблеми ви повинні стежити, застосовуючи цей патч? SUPEE-10752, Magento Commerce 1.14.3.9 та Open Source 1.9.3.9 містять декілька покращень безпеки, які допомагають закрити автентифіковане виконання віддаленого коду користувача адміністратора (RCE), підробку запитів між веб-сайтами (CSRF) та інші …

1
SUPEE-9767 V2 Можливі проблеми та вирішені проблеми
Magento просто випустити оновлену версію SUPEE-9767і Magento - CE 1.9.3.4. Отже, МОЕ питання полягає в тому, які помилки були вирішені, V2і чи потрібно нам повторно застосовувати, V2якщо ми вже застосовуємось v1. І в чому полягають нові зміни CE 1.9.3.4, це просто виправлення за допомогою нового виправлення безпеки чи багато іншого …

3
Чи варто оновити або виправити Magento?
Наразі я виправляю Magento останніми патчами і цікавився, чи варто застосовувати патчі або оновити до останньої версії? Наскільки я можу сказати, єдиними змінами здаються патчі, що включаються у файли Magento? Або мені просто оновити з 1.9.1.1 до 1.9.2.1?

1
Нагадування про безпеку продовжують діяти… (SUPEE-5344 & SUPEE-1533)
У мене є кілька установок Magento, якими я керую від імені наших клієнтів. Ми вже виправили вразливості, але попередження продовжують діяти. Ми щойно отримали третє попередження на всіх сайтах. У нас розгорнуто дві різні версії: 1.7.0.2 та 1.9.1.0. Коли я зафіксував версію 1.9, я отримав кілька попереджень, але я перевірив, …

1
Уразливість Magento swf XSS - як це вирішити?
За вразливістю SWF / Flash, вказаною за адресою: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/ який я перевірив, чи існує все ще в Magento 1.9.1.0, який найкращий спосіб вирішити це? Якісь проблеми з блокуванням або обмеженням доступу до цих SWF-файлів?

4
ризик безпеки для requ_once 'app / Mage.php'; в корені Магенто
У мене в корені Magento є файл, який require_once 'app/Mage.php';дає мені доступ до Mage::getStoreConfigсистемних змінних. Чи викликає це ризик безпеки? Чи слід помістити його в іншу папку? Це мій файл, /twitter.php : <?php require_once 'app/Mage.php'; Mage::app(); $consumer_key = Mage::getStoreConfig("Social/twitterapi/consumer_key"); $consumer_secret = Mage::getStoreConfig("Social/twitterapi/consumer_secret"); $oauth_access_token = Mage::getStoreConfig("Social/twitterapi/access_token"); $oauth_access_token_secret = Mage::getStoreConfig("Social/twitterapi/access_token_secret");
12 security 

2
Уразливість викрадення атаки та сеансу CSRF
З приміток до випуску Alpha Alpha 1.8CE: У веб-магазині Magento є додаткові захисти від підробки веб-сайтів (CSRF), що означає, що самозванець більше не може представляти себе зареєстрованим клієнтом та виконувати дії від імені замовника. і: У попередніх версіях Magento був підданий атаці фіксації сеансу під час реєстрації. Після входу у …


Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.