Вопросы с тегом «security»

Обозначает вопросы безопасности на Magento.

4
SecurityPatch 9652: возможные проблемы после применения SUPEE-9652
Magento выпустила свое исправление безопасности SUPEE-9652для Magento 1.x CE и EE Я просто хочу знать, каковы возможные проблемы после применения этого исправления безопасности и каковы новые изменения в этом исправлении безопасности?

15
SUPEE-10975 Потенциальные проблемы
Выпущен SUPEE-10975, было бы здорово узнать, сталкивается ли кто-нибудь с какими-либо проблемами при попытке применить это, будет ли это конфликтовать с самым последним патчем, который добавляет поддержку 7.2? Пока это измененные файлы, которые я вижу app/code/core/Mage/Adminhtml/Block/Customer/Group/Edit.php app/code/core/Mage/Adminhtml/Block/Newsletter/Template/Edit.php app/code/core/Mage/Adminhtml/controllers/Cms/BlockController.php app/code/core/Mage/Adminhtml/controllers/Customer/GroupController.php app/code/core/Mage/Adminhtml/controllers/SitemapController.php app/code/core/Mage/Adminhtml/controllers/System/BackupController.php app/code/core/Mage/Captcha/Model/Observer.php app/code/core/Mage/Captcha/Model/Zend.php app/code/core/Mage/Captcha/etc/config.xml app/code/core/Mage/Catalog/Model/Api2/Product/Image/Rest/Admin/V1.php app/code/core/Mage/Catalog/Model/Product/Attribute/Media/Api.php app/code/core/Mage/Cms/Model/Wysiwyg/Images/Storage.php app/code/core/Mage/Core/etc/config.xml app/code/core/Mage/Core/sql/core_setup/upgrade-1.6.0.7.1.1-1.6.0.7.1.2.php app/code/core/Mage/Dataflow/Model/Convert/Container/Abstract.php …

2
Взломали Magento даже после наложенного патча
За несколько дней до того, как мой сайт Magento Community Edition 1.8.1 был взломан, потому что мы опоздали с установкой патча . мы обнаружили, что некоторые файлы были изменены те, index.php [хакеры добавили в него код]. get.php JS / index.php JS / Библиотека / ccard.js Библиотека / Varien / autoload.php …

3
Когда выйдет Magento CE 1.9.2?
Какова дата выпуска Magento Community Edition 1.9.2? В официальном сообщении Magento говорится, что оно выйдет в «следующие несколько недель», что довольно расплывчато. Кто-нибудь знает (неофициальную) дату релиза? Magento EE 1.14.2 уже доступен, и я видел, что все последние исправления безопасности уже там. Мы обновили все наши текущие проекты разработки EE …

2
Почему защита CSRF необходима для добавления в корзину?
С недавних пор Magento является form_keyчастью действия «добавить в корзину» для защиты от, по-моему, CSRF-атак. Итак, теперь я задаюсь вопросом, действительно ли это нужно для этого места, и почему или лучше сказать, от каких конкретных сценариев оно должно защищать.

5
Магазин Magento небезопасен
Недавно я взял на себя управление магазином Magento. Вчера мы получили электронное письмо от ИТ-компании, в котором говорилось, что наш магазин небезопасен. Несмотря на то, что я сомневаюсь в законности электронного письма, оно показывало последний заказ в магазине, количество зарегистрированных покупателей и последний добавленный товар. Поскольку я недавно стал администратором, …

1
Уязвимости SQL-инъекций при использовании SQL-моделей Zend Framework
При соединении таблиц я использую модели SQL Zend Framework. В качестве примера я изменил свой реальный код, но я думаю, вы поймете: $this->getSelect()->join( array('sections' => $sectionsTableName), 'main_table.banner_id = pages.banner_id', array() ) ->where("sections.section= '$section' OR sections.section = '0' OR (sections.section = '6' AND ? LIKE main_table.url)",$url) ->group('main_table.banner_id'); Страница загружается с помощью …

15
Исправление безопасности SUPEE-10752 - Возможные проблемы?
Новое исправление безопасности для Magento 1, устраняющее 25 проблем APPSEC https://magento.com/security/patches/supee-10752 Какие общие проблемы вы должны остерегаться при применении этого патча? SUPEE-10752, Magento Commerce 1.14.3.9 и Open Source 1.9.3.9 содержат множество улучшений безопасности, которые помогают закрыть аутентифицированное удаленное выполнение кода администратором (RCE), подделку межсайтовых запросов (CSRF) и другие уязвимости. Информация …

1
SUPEE-9767 V2 Возможные проблемы и решенные проблемы
Magento просто выпустила обновленную версию SUPEE-9767а Magento - CE 1.9.3.4. Итак, МОЙ вопрос в том, какие ошибки были решены, V2и нужно ли нам повторно подавать заявку, V2если мы уже подали заявку v1. И каковы новые изменения CE 1.9.3.4, это просто исправления с новым патчем безопасности или многое другое ?? и …

3
Должен ли я обновить или исправить Magento?
Я в настоящее время исправляю Magento с последними исправлениями и задаюсь вопросом, стоит ли применять исправления или обновлять до последней версии? Насколько я могу судить, единственными изменениями, по-видимому, являются исправления, включаемые в файлы Magento? Или мне просто обновить с 1.9.1.1 до 1.9.2.1?

1
Напоминания о безопасности продолжают появляться ... (SUPEE-5344 и SUPEE-1533)
У меня есть несколько установок Magento, которыми я управляю от имени наших клиентов. Мы уже исправили уязвимости, но предупреждения продолжают появляться. Мы только что получили третье предупреждение на всех сайтах. У нас есть две разные версии: 1.7.0.2 и 1.9.1.0. Когда я исправил версию 1.9, я получил несколько предупреждений, но я …

1
Уязвимость в Magento SWF XSS - как ее устранить?
В соответствии с уязвимостью SWF / Flash, перечисленной по адресу: http://appcheck-ng.com/unpatched-vulnerabilites-in-magento-e-commerce-platform/ что я проверял, все еще существует в Magento 1.9.1.0, каков наилучший метод для решения этой проблемы? Есть проблемы с блокировкой или ограничением доступа к этим SWF-файлам?

4
угроза безопасности require_once 'app / Mage.php'; в корне мадженто
У меня есть файл в корне Magento, который require_once 'app/Mage.php';дает мне доступ к Mage::getStoreConfigсистемным переменным. Это создает угрозу безопасности? Должен ли я поместить его в другую папку? Это мой файл, /twitter.php : <?php require_once 'app/Mage.php'; Mage::app(); $consumer_key = Mage::getStoreConfig("Social/twitterapi/consumer_key"); $consumer_secret = Mage::getStoreConfig("Social/twitterapi/consumer_secret"); $oauth_access_token = Mage::getStoreConfig("Social/twitterapi/access_token"); $oauth_access_token_secret = Mage::getStoreConfig("Social/twitterapi/access_token_secret");
12 security 

2
Уязвимость атаки CSRF и перехвата сессии
Из примечаний к выпуску 1.8CE Alpha: Интернет-магазин Magento имеет дополнительные средства защиты от подделки межсайтовых запросов (CSRF), что означает, что самозванец больше не может выдавать себя за нового зарегистрированного клиента и выполнять действия от его имени. и: В более ранних версиях Magento был уязвим для атаки фиксации сеанса во время …


Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.