2

私は Magento についてほとんど知識がなく、問題のサイトを自分で構築したことはありませんが、クライアントの Web サイトの local.xml ファイルが公開されていることを発見しました- http://domain.com/app/etc/local.xmlにはユーザー名とパスワード。このファイルは公にアクセス可能であってはならないと思いますが、Magento は (403 ヘッダーを送信することによって) アクセスを自動的にブロックしませんか? これに対するセキュリティへの影響は何ですか?

4

4 に答える 4

6

世界にはあなたのDB接続情報があり、暗号化キーもそこにあるので、顧客の安全な情報をすべて破ることができます。

Magentoは、そのディレクトリの.htaccessを介したアプリからのetcへのアクセスをブロックします。

Order deny,allow
Deny from all
于 2012-06-12T14:28:41.810 に答える
2

local.xml を Web ルート ディレクトリ構造の外に移動する方法。

于 2012-06-12T14:49:47.177 に答える
2

データベースと暗号化キーの情報に加えて、キャッシュ サーバーに関する情報を含めることができます。

于 2012-06-12T15:54:14.000 に答える
0

標準の Magento インストールでは、local.xml ファイルがパブリックにアクセスできるように正しく構成されていても、セキュリティ上の脅威にはなりません。

とはいえ、標準的なサーバー構成からの逸脱が発生し、何らかの方法でファイルを読み取ることが可能になると、他のセキュリティ対策はすべて絶対的なものになります。

そのため、フェイルセーフとして、このファイルを公にアクセスできないようにすることを強くお勧めします。

于 2014-05-12T11:55:51.597 に答える