1
我對Magento知之甚少,並沒有自己構建網站,但我發現客戶端的網站的local.xml文件可公開訪問 - http://domain.com/app/etc/local.xml其中包含用戶名和密碼。 我認爲這個文件不應該公開訪問,但不會Magento自動阻止訪問(通過發送一個403頭)? 這對安全性有什麼影響?如果Magento中的local.xml可公開訪問,那麼安全問題是什麼?
A
回答
5
世界上會有你的數據庫連接信息,密鑰也在那裏,所以他們可以打破你所有的客戶的安全信息。
Magento通過該目錄中的.htaccess阻止從應用程序訪問等。
Order deny,allow
Deny from all
2
2
除了數據庫,它可以包含有關緩存服務器的信息加密密鑰信息。
0
在一個標準的Magento安裝中,正確配置了可公開訪問local.xml文件並不是安全威脅。
也就是說,如果會發生任何偏離標準服務器配置的偏差,並且以某種方式讀取文件將成爲可能,所有其他安全措施將成爲可能。
因此,強烈建議不要公開訪問該文件,作爲失敗保護,如果不是其他任何事情。
相關問題
- 1. JSF的安全性問題是什麼?
- 2. 散居的安全問題是什麼?
- 3. 代碼訪問安全性問題 - 這裏有什麼問題?
- 4. 如果Java只訪問線程安全對象,那麼它是一種在Java中是安全的線程嗎?
- 5. Magento安全問題
- 6. VBA在訪問...如果那麼另外
- 7. 如果數組是線程安全的,那麼這個函數有什麼問題?
- 8. 這是什麼Magento的open_basedir問題呢?
- 9. 公開Web服務,安全問題
- 10. 什麼是.NET中的代碼訪問安全性
- 11. 爲什麼suhosin.executor.allow_symlink存在安全問題?
- 12. 什麼時候線程安全問題?
- 13. 公鑰丟失怎麼辦?這是一個安全問題嗎?
- 14. SVN訪問/安全問題
- 15. 什麼是asp.net mvc中的安全問題?
- 16. 公開Facebook API祕密的潛在問題是什麼?
- 17. 什麼是「內存泄漏」?這是一個性能問題或安全問題?
- 18. 什麼可能解決OpenID的安全問題
- 19. SendBroadcast會導致什麼樣的安全問題,什麼是更好的方法?
- 20. OAuth完全Javascript訪問,安全問題?
- 21. 評估用戶代碼的安全性問題是什麼?
- 22. 此實施SSO的潛在安全問題是什麼?
- 23. Magento管理面板無法訪問 - 安全網站問題
- 24. 爲什麼可變字符串會導致安全問題?
- 25. 爲什麼嵌套的公共類不如父級可訪問?
- 26. 那個mySQL查詢有什麼問題?
- 27. 如果可以訪問數據庫,那麼鹽和哈希的要點是什麼?
- 28. 支持Dojo JavasScript庫安全,可訪問和高性能的立場是什麼?
- 29. 什麼取代.net中的代碼訪問安全
- 30. 訪問安全Ejb的問題
謝謝。顯然數據庫不允許外部連接,這是否仍然是一個安全問題?你能否提供更多關於密鑰如何構成安全威脅的信息。黑客可以用密鑰做什麼?你是說Magento將/ app /目錄從盒子中取出?只是想知道爲什麼這個文件本來可以公開查看。 – iagdotme
如果沒有,那很好,但它仍然是我不想讓任何人擁有的信息,但請記住,在安全方面,總會有人更好,不管他們是白帽還是黑帽。密鑰被用於加密CC信息,所以如果他們有解密CC信息並且可以完全訪問消費者CC,並且沒有人喜歡像索尼或LinkedIn那樣。它首先是不可見的。 Magento將.htaccess作爲其初始安裝的一部分,它必須已被某人刪除。 –
感謝您的幫助。我相信該網站在IIS服務器上,所以我不知道這是否有所作爲。 – iagdotme