php - OpenCartはOWASPトップ10に対して強化されていますか？

Question

「テストガイド」を見つけましたが、300ページあります。それを読んで自分でテストするのはいいことですが、誰かがすでにこの作業を行っているかどうかを知りたいです。これについて検索したときに、PCIコンプライアンスに関するスレッドをOCフォーラムで見つけましたが、それは接線の問題です。

それで、特に、OpenCartがOWASPトップ10の脅威リストに対して強化されているかどうかを誰かが知っていますか？

Answer 1

AFAIK、そして私の貧弱なテストから（そして私はOCがどのように書かれているかを知っているので）、私はベースOC（^サードパーティの拡張機能なし）は安全であると言うことができます：

• 壊れたアクセス制御
• すべてのユーザー入力が検証されるため、SQLやその他のインジェクションから安全です
• XSS
• 安全でない暗号化ストレージ-OCは機密データを保存せず、デフォルトのオンライン支払いオプションはSSLを介して処理されます
• DoS（間接的に-現在、サーバーファイアウォールはDoS攻撃を区別し、そのIPからの通信をブロックします）
• 安全でない直接オブジェクト参照（FTPに直接アクセスしない限り、許可されたタイプのリソースのみをアップロードおよびダウンロードできます）
• セキュリティの設定ミス-OC設定ファイルにアクセスできないため、ユーザーは自分のストアを最新の状態に保つ必要があります...

私がこれまでチェック/遭遇しなかったこと：

• 外国語（異なるエンコーディングセット）入力によるバッファオーバーフロー

弱い点（欠陥ではありません！）：

• OCフロントエンドはCSRFから十分に保護されていませんが、バックエンドは
• セッション管理-セッション情報を復号化する可能性に関する問題は、Webアプリケーションの95％以上と同じです
• 直接設定/設定解除されるまで、OCは、攻撃者が可能性のあるエクスプロイトを簡単に見つけるのに役立つ可能性のあるエラーメッセージを報告して表示します...

私の見解では、OCは非常に安全に作成されたオープンソースのeコマースソリューションです。 _{（不十分に書かれた拡張機能で妥協しない限り...）}