ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น

ThaiSEOBoard.comพัฒนาเว็บไซต์CMS & Free Scriptช่องโหว่ของ Opencart 1.5.6.4 มีเยอะใหม
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: ช่องโหว่ของ Opencart 1.5.6.4 มีเยอะใหม  (อ่าน 1677 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
affsom
สมุนแก๊งเสียว
*

พลังน้ำใจ: 24
ออฟไลน์ ออฟไลน์

กระทู้: 501



ดูรายละเอียด
« เมื่อ: 18 พฤษภาคม 2017, 19:29:34 »

ตอนนี้ศึกษา opencartอยู่ และกำลังหาช่องโหว่ยุครับ ว่าสามารถเจาะเข้ามาทางใหนได้บ้าง มันรั่วอยู่บ่อยๆแบบ WPหรือป่าว เพราะตั้งใจจะลองเอามาศึกษาระบบเพื่อพัฒนาเป็นแนวของตัวเอง มันไว เล็ก แล้วการเขียนก็ง่ายกว่าแบบอื่นที่ทดลองเล่นมา เลยคิดว่าน่าจะมาโมไปในแนวทางอื่นๆได้อีกมาก แต่อยากรู้ว่าความปลอดภัยมันดีขนาดใหนครับ
ขอบคุณครับ
บันทึกการเข้า
infamous
ก๊วนเสียว
*

พลังน้ำใจ: 14
ออฟไลน์ ออฟไลน์

กระทู้: 295



ดูรายละเอียด
« ตอบ #1 เมื่อ: 18 พฤษภาคม 2017, 20:28:47 »

V.1.5.6.4 ถือว่าทำได้ดีครับ อุดบั๊คเวอร์ชั่นก่อนหน้าไปเยอะ ถือได้ว่าเป็บเวอร์ชั่นที่เสถียรสุดก่อนไป v2
ผมเล่นตั่งแต่ v 1.4 ตอนที่ออกมาใหม่ๆ จนถึงตอนนี้ก็ยังใช้งานและทำเป็น ecom store ให้ลูกค้าอยู่หลายเจ้า

ด้านความปลอดภัย ผมยังไม่เคยได้ยินข่าวนะครับว่าโดน พวก injection ต่างๆ หรืออะไรทำนองนั้น
นอกจากว่าเจ้าของจะไปโหลดโมดูลแปลกๆมาติดตั้งเอง

ตอนนี้ผมกำลังทำมัลติสโตร์ให้ลูกค้าอยู่ 2 เจ้า แชร์ประสบการณ์ได้ครับ

ปล ถ้าเล่นผมว่าข้ามไป 2.3.x stable ดีกว่าครับ ระบบคล้ายๆกัน แค่เพิ่มระบบความปลอดภัยและออปชั่นอื่นเข้ามานิดหน่อย
บันทึกการเข้า
affsom
สมุนแก๊งเสียว
*

พลังน้ำใจ: 24
ออฟไลน์ ออฟไลน์

กระทู้: 501



ดูรายละเอียด
« ตอบ #2 เมื่อ: 18 พฤษภาคม 2017, 20:53:06 »

ขอบคุณครับ
ที่ลองเล่น 1.5.6.4 เพราะดูแล้วปรับแต่งง่ายสุดครับจากทั้งหมด ลองเล่น 2.3 แล้วไม่OKครับมีการเรียกฟังชั่นมากเกินความจำเป็นขี้เกียจไล่หาไฟล์เวลาปรับแต่ง อีกอย่างชินกับcodeของ 1.5มากกว่า ส่วนโมดูลหรือธีมนั้นผมทำเองครับ แชร์ข้อมูลเกี่ยวกับopencartกันได้นะครับ ตอนนี้กำลังเขียนฟังชั่นใหม่ๆเข้าไปได้เยอะพอสมควร แล้วบังเอิญเจอบัคที่ตรงระบบจัดการไฟล์imagemanagerว่าสามารถแฮกเข้ามาได้(อ่านจากเว็บนอก)แต่ได้เปลี่ยนไปใช้ elFinder แล้ว เลยเริ่มคิดที่จะหาว่ายังมีช่องทางอื่นๆอีกหรือป่าวครับ
« แก้ไขครั้งสุดท้าย: 18 พฤษภาคม 2017, 20:54:46 โดย affsom » บันทึกการเข้า
infamous
ก๊วนเสียว
*

พลังน้ำใจ: 14
ออฟไลน์ ออฟไลน์

กระทู้: 295



ดูรายละเอียด
« ตอบ #3 เมื่อ: 18 พฤษภาคม 2017, 21:22:08 »

ขอบคุณครับ
ที่ลองเล่น 1.5.6.4 เพราะดูแล้วปรับแต่งง่ายสุดครับจากทั้งหมด ลองเล่น 2.3 แล้วไม่OKครับมีการเรียกฟังชั่นมากเกินความจำเป็นขี้เกียจไล่หาไฟล์เวลาปรับแต่ง อีกอย่างชินกับcodeของ 1.5มากกว่า ส่วนโมดูลหรือธีมนั้นผมทำเองครับ แชร์ข้อมูลเกี่ยวกับopencartกันได้นะครับ ตอนนี้กำลังเขียนฟังชั่นใหม่ๆเข้าไปได้เยอะพอสมควร แล้วบังเอิญเจอบัคที่ตรงระบบจัดการไฟล์imagemanagerว่าสามารถแฮกเข้ามาได้(อ่านจากเว็บนอก)แต่ได้เปลี่ยนไปใช้ elFinder แล้ว เลยเริ่มคิดที่จะหาว่ายังมีช่องทางอื่นๆอีกหรือป่าวครับ

ต้องทำใจนะครับสำหรับการ hack ผ่านทาง file uploading แต่ข่าวนี้มันปิดไปนานแล้วครับถ้าจำไม่ผิด ซึ่ง v1564 นั้นทางผุ่พัฒนาเค้าแจ้งแล้วว่า fixed
ส่วนไฟล์ของระบบเป็นไปได้ให้โหลดที่ Github official repo ครับ

ส่วน elfinder นี่ผมก็เคยใช้เหมือนกันไม่ต่างกันมาก อัพแบบ ajax จัดการ permission แบบมัลติยูสเซอร์ได้ด้วย และข้อดีอื่นอีกมากของ adapter ตัวนี้
ซึ่งไม่มีใน opc เพราะทาง dev เค้ายังไม่เจาะรายละเอียด เราต้องมานั่งแก้หรือเพิ่มเอง ถ้าเจอ

ส่วนช่องของ elfinder ก็มีเหมือนถ้าท่านลองหาข้อมูลดู สรุปแล้ว ไม่รอดครับ ไม่ว่า cms หรือ extension ตัวไหน ยิ่งดังเพื่อนยิ่งอยากลองของ

ส่วนใหญ่พวกเกียวกับไฟล์นี่ permission สำคัญครับต้องดูให้ดี ไม่งั้นงานงอกครับ

ส่วนตัวผมคิดว่าระบบมันคล้ายกันครับ ถ้าท่านชำนาญ oop และ hmvc อยู่แล้ว opencert นี่ท่านกินหมูเลยครับ

ผมดีใจที่เห็นไทยอยากเอาสคริปต์นอกมาทำให้มันดีขึ้น

××แก้ไขครับ
« แก้ไขครั้งสุดท้าย: 18 พฤษภาคม 2017, 21:37:48 โดย infamous » บันทึกการเข้า
affsom
สมุนแก๊งเสียว
*

พลังน้ำใจ: 24
ออฟไลน์ ออฟไลน์

กระทู้: 501



ดูรายละเอียด
« ตอบ #4 เมื่อ: 18 พฤษภาคม 2017, 22:10:12 »

ขอบคุณครับ
ที่ลองเล่น 1.5.6.4 เพราะดูแล้วปรับแต่งง่ายสุดครับจากทั้งหมด ลองเล่น 2.3 แล้วไม่OKครับมีการเรียกฟังชั่นมากเกินความจำเป็นขี้เกียจไล่หาไฟล์เวลาปรับแต่ง อีกอย่างชินกับcodeของ 1.5มากกว่า ส่วนโมดูลหรือธีมนั้นผมทำเองครับ แชร์ข้อมูลเกี่ยวกับopencartกันได้นะครับ ตอนนี้กำลังเขียนฟังชั่นใหม่ๆเข้าไปได้เยอะพอสมควร แล้วบังเอิญเจอบัคที่ตรงระบบจัดการไฟล์imagemanagerว่าสามารถแฮกเข้ามาได้(อ่านจากเว็บนอก)แต่ได้เปลี่ยนไปใช้ elFinder แล้ว เลยเริ่มคิดที่จะหาว่ายังมีช่องทางอื่นๆอีกหรือป่าวครับ

ต้องทำใจนะครับสำหรับการ hack ผ่านทาง file uploading แต่ข่าวนี้มันปิดไปนานแล้วครับถ้าจำไม่ผิด ซึ่ง v1564 นั้นทางผุ่พัฒนาเค้าแจ้งแล้วว่า fixed
ส่วนไฟล์ของระบบเป็นไปได้ให้โหลดที่ Github official repo ครับ

ส่วน elfinder นี่ผมก็เคยใช้เหมือนกันไม่ต่างกันมาก อัพแบบ ajax จัดการ permission แบบมัลติยูสเซอร์ได้ด้วย และข้อดีอื่นอีกมากของ adapter ตัวนี้
ซึ่งไม่มีใน opc เพราะทาง dev เค้ายังไม่เจาะรายละเอียด เราต้องมานั่งแก้หรือเพิ่มเอง ถ้าเจอ

ส่วนช่องของ elfinder ก็มีเหมือนถ้าท่านลองหาข้อมูลดู สรุปแล้ว ไม่รอดครับ ไม่ว่า cms หรือ extension ตัวไหน ยิ่งดังเพื่อนยิ่งอยากลองของ

ส่วนใหญ่พวกเกียวกับไฟล์นี่ permission สำคัญครับต้องดูให้ดี ไม่งั้นงานงอกครับ

ส่วนตัวผมคิดว่าระบบมันคล้ายกันครับ ถ้าท่านชำนาญ oop และ hmvc อยู่แล้ว opencert นี่ท่านกินหมูเลยครับ

ผมดีใจที่เห็นไทยอยากเอาสคริปต์นอกมาทำให้มันดีขึ้น

××แก้ไขครับ

อิๆๆ กินหมูจริงๆครับถ้าเล่นเป็น ระบบSEOแรงสุดๆ (หลังจากปรับแล้วนะ) ถ้าเป็น MVC OOPผมว่ามันเขียนอะไรใส่ลงไปได้ทุกอย่างถ้าสามารถ ผมเขียนไปไกลเลยครับ แต่อีกนานกว่าจะเสร็จเปลี่ยนระบบหลังบ้านใหม่หมดแบบยกเททิ้งกันเลย เก็บไว้แต่ CORE ของopencart เอามาปรับแต่งเพิ่มระบบที่แบบว่าฉีกกฎ Opencart อย่างมาก โมดูลนี่เขียนแบบว่าระบบ CMS ตัวอื่นที่ทำไม่ได้ ทดลองเขียนแล้วมันก็ใช้งานได้ แต่เสียตรงที่ไม่ค่อยมีเวลาเท่าไร คือส่วนตัวนั้นทดลองมาหลายแล้วCMSแล้ว ผมว่า opencartเข้าใจง่ายในการปรับแต่งโค๊ดที่สุด แต่เว็บไม่ได้ขึ้นซะทีมัวแต่เขียนจนเป็นตัวทดลองCodeซะแล้ว

 wanwan012
บันทึกการเข้า
BrainFreeze
เจ้าพ่อบอร์ดเสียว
*

พลังน้ำใจ: 498
ออฟไลน์ ออฟไลน์

กระทู้: 3,887



ดูรายละเอียด เว็บไซต์
« ตอบ #5 เมื่อ: 31 พฤษภาคม 2017, 23:23:30 »

มีลูกค้าใช้อยู่เยอะเลย version 1.5 ยังปกติสุขดีครับ

อ้างอิง
https://www.cvedetails.com/vul...t/vendor_id-9599/Opencart.html
บันทึกการเข้า

# จัดไป Promo Code ลด 11% : THAISEOBOARD
# hostatom.com |โฮสอะตอม - เว็บโฮสติ้งที่ Webmaster มืออาชีพไว้วางใจ
# Web Hosting | Cloud VPS | Reseller Hosting | Domain Name
# บริการ 24x7 | รับประกันความพอใจยินดีคืนเงิน | Uptime 99.9% | โทร : 0-2107-3466
buakaew
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 41
ออฟไลน์ ออฟไลน์

กระทู้: 1,365



ดูรายละเอียด เว็บไซต์
« ตอบ #6 เมื่อ: 31 พฤษภาคม 2017, 23:59:53 »

ได้ความรู้ใหม่ๆ  wanwan017
บันทึกการเข้า

Affiliate ไทยจ่ายจริงกินหลายชั้นลึกหลากหลายผลิตภัณฑ์Affiliate ไทย
รีวิว คูปองฟรี Hosting ไทยและเทศรีวิว Hosting
ดูดวงออนไลน์ฟรีดูดวง
พระเครื่องออนไลน์พระเครื่อง

LoveRomyui88io
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 28
ออฟไลน์ ออฟไลน์

กระทู้: 1,682



ดูรายละเอียด
« ตอบ #7 เมื่อ: 01 มิถุนายน 2017, 13:12:20 »

ขอบคุณครับ
บันทึกการเข้า

ห้ามใส่ลิงค์พนันครับ ทำอีกลบแอคเค้านะครับ
หน้า: [1]   ขึ้นบน
พิมพ์