Помощь чем проверить магазин на дыры

gleb-khil

gleb-khil

Полезный
Регистрация
6 Окт 2015
Сообщения
208
Реакции
18
Как проверить шаблон на дыры? где то писалось на сайте создателя шаблона, что там эксплойт есть, и тут я его установил и через сутки слетели таблицы настроек в базе данных, было написано "скупой платит дважды - дурак трижды", все восстановил, но хочу проверить на дыры.
 
Попробуй Acunetix.Web.Vulnerability.Scanner.v10
 
gleb-khil написал(а):
Как проверить шаблон на дыры? где то писалось на сайте создателя шаблона, что там эксплойт есть, и тут я его установил и через сутки слетели таблицы настроек в базе данных, было написано "скупой платит дважды - дурак трижды", все восстановил, но хочу проверить на дыры.
Нажмите для раскрытия...
Для просмотра ссылки Войди или Зарегистрируйся
 
gleb-khil написал(а):
это я тоже делал, но интересовали методы, которые уже опробованы и проверены пользователями форума
Нажмите для раскрытия...
Я не думаю, что это реально сделать и не быть при этом супер понимающем, простите, в "дырах", кодером.
Я делаю так :
1) Скрип aibolit на сайт
2) Весь дамп сайта вместе с базой и прочим хламом на локальном компе проверяю докторвэбом.
3) Смотрю все входящие и исходящие ссылки сайта
4) Подозрительные страницы своего сайта смотрю через fiddler, пытаясь в логе увидить что либо необычное.
Дальше не хватает знаний, чтобы анализировать код глазами........
 
FidaSa написал(а):
Я не думаю, что это реально сделать и не быть при этом супер понимающем, простите, в "дырах", кодером.
Я делаю так :
1) Скрип aibolit на сайт
2) Весь дамп сайта вместе с базой и прочим хламом на локальном компе проверяю докторвэбом.
3) Смотрю все входящие и исходящие ссылки сайта
4) Подозрительные страницы своего сайта смотрю через fiddler, пытаясь в логе увидить что либо необычное.
Дальше не хватает знаний, чтобы анализировать код глазами........
Нажмите для раскрытия...
Н-да, а кому-то, мне например, не хватает знаний, чтобы понять хоть что-то из описанного вами в этом посте.
Поставил на ocStore 2.1.0.2.1 шаблон xds coloring 1.3.7 ( тот самый null от feofan, что можно скачать много где ), создал 2 товара и при просмотре сайта ( на open server ) обнаружил, что при выборе одного товара сначала идет загрузка по нормальной ссылке а затем редирект на сторонний сайт. Спрашивал на разных форумах - где найти и как убрать этот косяк, никто пока не помог. Странно еще и то, что шаблон этот пользуется популярностью, но я нигде не находил, чтобы у кого-то возникала подобная проблема.
Пробовал проверить сайт с помощью Xenu (по совету) - ссылок на сторонние сайты не было обнаружено (за искл. ссылок на сайты разраб. сборки ocStore и шаблона XDS).
Может вы что подскажите...
 
Самое первое что нужно сделать : открываете папку шаблона/квик старта в тотал командере , жмете кнопку "поиск файлов" , затем ставите галку "с текстом" и в поле напротив галочки "с текстом" вписываете base64 , жмёте поиск и далее если находится чтолибо - дальше вам нужны знания php чтобы понять имеет эта функция смысловую нагрузку или там закодирована всякая дрянь - ссылки, бэкдоры и т.п. для декодировния абракадабры - копируете ее (всё что между открывающей и закрывающей скобочкой функции base64 ( ) и декодируете, например по ссылке: Для просмотра ссылки Войди или Зарегистрируйся . Далее если вы увидите там ссылки , адреса чужих сайтов, различный код который , например открывает файлы fopen, читает файл config , делает запросы к базе данных, отправляет письма mail () и т.д. - вырезайте это. В 80% случаев встретив в паблик шаблоне base64 - там дрянь. Иногда ее вшивают так что просто при удалении - ломается функционал и опенкарт (любая другая цмс) перестает работать - тогда без знаний пхп вам не решить вопрос. Выше предлагали айболитом пройтись - не помню точно но вроде он умеет искать в коде подобные вещи. но самому всегда надежнее. Разумеется это вовсе не панацея и не исчерпывающие действия - так как бэкдор легко спрятать немного переписав какую-то часть функционала - например убрать фильтрацию данных с определенного запроса или чтения файла , может быть код закодирован ioncube или вовсе своей собственной функцией кодирования и т.д. Если знаний нехватает и есть хоть малейшая возможность купить шаблон\модуль - лучше купите, потому что без знаний вылечить свой сайт и защитить его в будущем вы не сможете и денег за то чтобы это сделал кто-то за вас вы отдадите больше.
На офф сайте опенкарта есть неплохой модуль защищающий опенкарт... всего один... а вернее один и в связку к нему я находил еще один. Но сейчас не могу вспомнить названия - те кто немного шарит - можете ввести в поиске security и изучить все модули безопасности опенкарта. я позже постараюсь не забыть выложить свой вариант.
Так же есть Для просмотра ссылки Войди или Зарегистрируйся (он есть и на офф сайте опенкарта) который переименовывает все пути в опенкарте - заменять можно на свои причем этот модуль автоматом учит правильно находить пути vqmanager - это защитит магазин от массового взлома тем что роботы взломщика просто не смогут идентифицировать в вашем сайте, что это движок opencart. Но модуль для версии 1.5.6 , хотя автор подает признаки жизни и уже год как обещает выпустить версию для 2.х =)
 
Последнее редактирование:
Albus_D написал(а):
Если знаний нехватает и есть хоть малейшая возможность купить шаблон\модуль - лучше купите, потому что без знаний вылечить свой сайт и защитить его в будущем вы не сможете и денег за то чтобы это сделал кто-то за вас вы отдадите больше.
Нажмите для раскрытия...
Я это уже понял и полностью с вами согласен, когда начну что-то понимать, хотя бы то, какой функционал от сайта мне нужен, то буду пользоваться только купленными шаблонами/модулями, но это будет как минимум 2-й сайт, сейчас я только начинаю во всем разбираться, сайт делаю пробный, и если он мне начнёт приносить когда-нибудь доход, то я планирую заменить и на нём все ломаные шаблон и модули на аналогичные с оф. лицензией, если это конечно целесообразно и поможет убрать дыры.
Спасибо за такой развернутый ответ, уже есть от чего отталкиваться, дальше, как говориться, гугл мне в помощь, и возможно, через неделю-месяц-другой, я смогу отыскать эту ссылочку и откуда она берется, очень хочется ответить человеку, написавшему в соседнем форуме, комментарий к моей просьбе о помощи "много кто устанавливал этот шаблон отсюда, но такая проблема только у тебя". Как будто я её придумал...
 
TOYO написал(а):
Н-да, а кому-то, мне например, не хватает знаний, чтобы понять хоть что-то из описанного вами в этом посте.
Поставил на ocStore 2.1.0.2.1 шаблон xds coloring 1.3.7 ( тот самый null от feofan, что можно скачать много где ), создал 2 товара и при просмотре сайта ( на open server ) обнаружил, что при выборе одного товара сначала идет загрузка по нормальной ссылке а затем редирект на сторонний сайт. Спрашивал на разных форумах - где найти и как убрать этот косяк, никто пока не помог. Странно еще и то, что шаблон этот пользуется популярностью, но я нигде не находил, чтобы у кого-то возникала подобная проблема.
Пробовал проверить сайт с помощью Xenu (по совету) - ссылок на сторонние сайты не было обнаружено (за искл. ссылок на сайты разраб. сборки ocStore и шаблона XDS).
Может вы что подскажите...
Нажмите для раскрытия...
не мое конечно дело, но если ты не понимаешь пока деталей, не ставь на сайт шаблоны, к ним модули надо зачастую притачивать, а для тебя это точно деньги.
Кастомизируй дефолтный шаблон за счет CSS и Картиночек, на него хотябы 99% модулей встанет без доработки !
 
FidaSa написал(а):
не мое конечно дело...
Нажмите для раскрытия...
Ваш совет очень ценен для меня и думаю, что он также будет полезен многим начинающим. Для того и существуют форумы и я очень благодарен вам за внимание к моему вопросу. Когда 2-й сайт буду делать, о вашем совете обязательно вспомню.
FidaSa написал(а):
если ты не понимаешь пока деталей, не ставь на сайт шаблоны, к ним модули надо зачастую притачивать, а для тебя это точно деньги.
Кастомизируй дефолтный шаблон за счет CSS и Картиночек, на него хотябы 99% модулей встанет без доработки !
Нажмите для раскрытия...
Боюсь, что из-за нехватки знаний, на кастомищацию дефолтного шаблона у меня уйдет очень много времени. А тот шаблон, что я выбрал меня устраивает на 99% и я готов на начальном этапе обойтись без сторонних модулей. Спасибо ocStore уже за то, что Сбербанк онлайн и Qiwi изначально интегрированы. Надеюсь, что этого на старте будет достаточно.
Шаблон этот я выбрал еще и за его популярность, по нему много обсуждений можно найти и многие популярные модули на него должны поставиться без особых проблем, я надеюсь).
На счет того, чтобы платить деньги за работу профи я совсем не против и уже сейчас понимаю, что без этого мне не обойтись. Но в идеале хотелось бы сначала начать получать прибыль с которой можно было бы платить, а не уходить в минуса на старте.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху