OpenCart是否針對OWASP top 10進行了強化？

Question

我找到了'測試指南'，但它的號碼爲300 pages。閱讀並測試自己會很高興，但我想知道是否有人已經完成了這項工作。我在OC論壇上找到了關於PCI合規性的thread，當我搜索這個時，但這是一個切題。

因此，沒有人知道，具體，如果Opencart的硬化對OWASP十大威脅名單？

Answer 1

據我所知，和我那可憐的測試（因爲我知道OC是怎麼寫的），我可以說，這基地OC（沒有任何3個^次第三方擴展）是安全的：

• 被破壞的訪問控制
• 所有用戶輸入被驗證，從而安全從SQL或其他注射
• XSS
• 不安全的加密存儲 - OC不存儲任何敏感數據和缺省網上付款方式是通過SSL處理
• 的DoS（間接地 - 當今服務器防火牆區分DoS攻擊和阻塞來自該IP的通信）
• 不安全的直接對象引用（只有允許類型的資源可以上傳和下載，除非直接訪問FTP）
• 個安全配置錯誤 - OC配置文件無法訪問，用戶應該保持自己的存儲多達迄今爲止自己...

我沒有檢查什麼人/遭遇至今：

• 緩衝區溢出由於外語（不同的編碼設置）輸入

較弱點（沒有缺陷！）：

• OC 前端沒有很好地針對CSRF保護，後端是
• 會話管理 - 與解密的會話信息的可能性的問題是一樣的在網的95％應用
• 直到直接設置/復位，OC將報告和顯示任何錯誤消息可能發生，有助於攻擊者很容易地找到可能的漏洞

從我的觀點來看，OC是安全寫得很好的開源電子商務解決方案！_{（除非用寫得不好的擴展名來破壞...）}