M1的安全问题普通用户如何防范!

作者:admin 点击数: 0 收藏到会员中心
最后编辑时间: 2020-12-14 13:03:39

magento1系统被黑及入侵的点在哪里?

1。Rss订阅系统的暴力社会工程学密码码猜测

为什么第一条要说这个呢,这是一个代码框架问题决定,只要网站后台打开RSS 后台订单RSS功能,那么任何人,任何时间无限次数的可重试管理员密码。

后台系统设置--RSS Feeds

12202013_02.jpg

Admin项Rss被打开后,所有人均可以通过

http://*****.***/rss/order/new

访问并重试管理密码。

2。Shell目录下indexer.php文件权限 及可POST数据的问题

3。downloader下index.php文件可同1一样被破解密码。当您发现/downloader/index.php流量过高时均需要采取手段防护。

12202013_03.jpg

4。Newsletter功能被99.99%的无效垃圾用户占领。

5。/customer/account/create/ 被无数的机器人恶意注册,还被蒙着呢,不知道为什么那么多人来您网站注册?且他们要做什么?

1)直接用工具POST提交发送垃圾邮件,通过平台自带的sendfriends及share wishlist功能可实现

share Wishlist

12202014_01.jpg

12202014_02.jpg

Send Friend

12202014_03.jpg

12202014_04.jpg

12202014_05.jpg

发送的垃圾邮件过多的时候,不仅仅是影响整体性能,当发送过多的钓鱼及有色邮件时,会让发件域名出现搜索SEO数据下滑的必然结果 。

2)尝试上传图片,图片是经加工过的,可直接在浏览器里面运行的图片。这里以WEBSHELL及上传 的文件管理工具型图片居多。一旦目录可执行PHP,那么整站完整权限被动交出。

6。前台查询词汇被用来做黑链,是不是经常在后台看到一些搜索关键词为网址,QQ号等非正常检索的词汇,这类可直接访问型的搜索链接,当次数多了之后,再向搜索引擎提交后,站点会成为黑链来源之一,当正常的电商网站黑链(色情及赌博类)达到一定量,谷歌自动降权

7。盗取信用卡资金,这类出现在本站站点使用支付接口为信息卡直接支付的情况下居多,被通过各种途径得到文件管理权限后,对订单处理的代码进行分润或是邮件转发信息卡完整信息。达到资金偷盗的目的。

综合上述情况,要让一个magento1达到一定的安全级别,而不是放养式生存,需要注意的地方还有许多。


请登录继续浏此文章所有内容!
会员中心

已经有帐号啦 !赶紧同小伙伴们愉快地玩耍吧

立即登录

还没有账号? 马上注册一个新帐户

注册账号
内容说明:
如您需要转载本文请保留以下信息是对作者发文的支持与尊重:

M1的安全问题普通用户如何防范! 来源于 https://www.magentola.com/news-read-199.html
上一篇:没有了
下一篇:没有了
相关内容
产品推荐
网站客服