Сборка OpenCart

[Dmitry_V]

а про дырку размером со слона ты слышал? подверженные версии до 1.5.4.1? а говоришь про чистые глюки

Про которую из? Периодически в OpenCart (и тем более, в его сборках), находят дырки. Так же периодически их латают. Обычно, я слежу за репортами безопасности и ставлю заплатки по мере их появления. Но возможно, что-то пропустил. Просветите?

 

[djflorfila]

ocStore тот же opencart только с русской локализацией и дополнительными "плюшками"

вот на этих плюшках и можно впухнуть, т.к. даже БД переделывали!

Для интереса взял оригина OpenCart 1.5.4.1 и ocStore 1.5.4.1... сравнивал все файлы через win merge.. очень много файлов затронуто! ((

Добавлено zek24: дабл-постинг! есть кнопка редактировать

 

[FidaSa]

Ну так о каких дырах идет речь - если смотреть на 1/5/4/1 OcStore.

Единственное что мне известно и непопулярного так это доступ из сети к файлу с ошибками !

 

[Bezhev]

Про которую из? Периодически в OpenCart (и тем более, в его сборках), находят дырки. Так же периодически их латают. Обычно, я слежу за репортами безопасности и ставлю заплатки по мере их появления. Но возможно, что-то пропустил. Просветите?

Для просмотра ссылки Войди или Зарегистрируйся

еще была одна, но не могу найти... там же на секлабе. суть её в кривой форме востановления пароля.

 

[Alex Kross]

Вот еще одна дырка:

Для просмотра ссылки Войди или Зарегистрируйся
И весь журнал ошибок доступен для всех
Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать.

C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. Для просмотра ссылки Войди или Зарегистрируйся

Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт.
Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты

SELECT command denied to user 'u138235'@'10.10.0....'..... и т п

Пропишите в .htaccess

<FilesMatch "error.(txt)$">
Order Allow,Deny
Deny from all
</FilesMatch>

 

[Paradoks]

Пропишите в .htaccess

<FilesMatch "error.(txt)$">
Order Allow,Deny
Deny from all
</FilesMatch>

Прописать можно в произвольно место?

 

[djflorfila]

в ocStore дыр не меньше чем в других вариантах сборок

Это да. Начиная от ошибок в переводе, вплоть до вывода элементарных сео-плюшек (h1 заголовков) - приходится корректировать в шаблоне. Поиск в 1.5.4.1 не работает, если искать в категориях (выдает все найденные совпадения, независимо от выбранной категории) и т.д.

 

[Sts123]

Опенкарт магазин из серии доделай сам поэтому из того выбора что есть лучшее это ocStore.

 

[Keltiks]

OpenCart, оригинальную сборку. выбирайте оригинальною сборку, больше рабочих модулей, меньше проблем

 

[strug]

OpenCart, оригинальную сборку. выбирайте оригинальною сборку, больше рабочих модулей, меньше проблем

Не знаю, использую ocStore, 9 из 10 модулей что оригинальные, что под MaxyStor, работают без проблем.
А что качается дыр, они по-моему есть практически во всех движках, разница только в том на сколько глубоко и профессионально копать. Ну и от админа конечно не мало зависит.