原來如此

網路開店購物系統 => ECShop 安裝、設定、使用 => 主題作者是: andy 於 八月 01, 2011, 03:55:17 下午

主題: 如何強化 ec shop 資料庫安全
作者: andy八月 01, 2011, 03:55:17 下午
 如何強化 ec shop 資料庫安
 ec shop 2.50
資料庫曾經遭受參數注入攻擊,不過那是2.50的事情了,安全漏洞是利用在網址後輸入 “user.php?act=order_query&order_sn=’ union select 1,2,3,4,5,6,concat(user_name,0x7c,password,0x7c,email),8 from ecs_admin_user/*”這樣一句代碼就可以讀出網站資料庫中的管理員帳號和密碼。
有些人唯恐天下不亂,硬是要拿此大作文章,只為達到自己商業目的,而捏造事實的說法,卻暴露了自己的技術有問題,連這樣的事情都不知道防範,還敢收學員賺錢,這簡直是天大的笑話,事實上所有開放原始碼的軟體,都會有這樣的安全漏洞, ec shop 不是第一個,因為原始碼攤在陽光下,任何人都可輕易取得,有心人士要入侵自然有機會。
 
 不只是 ec shop ,很多程式在安裝時都有前綴的設定,但是很多人都用預設值,以 ec shop 來說,預設的前綴是ecs_,如果你在安裝時更改這個前綴,相對安全性就提高很多,這個前綴不要太簡單,可以包含大寫、小寫、特殊字元的混合,像 「[4l%9Q3]_」,就算駭客要猜,恐怕也要花很多時間,基本上,程式提供了這樣的功能,是自己不會用,怎麼能把他和政治搞在一起呢?
不管你是用什麼網站程式,只要程式有提供前綴的設定功能,在安裝時就應該要修改,不要使用預設。已經裝好且運作中的網站,也可以進行修改,底下以 ec shop 為例子,其他程式大同小異,請自行參考:
1、找個空檔到後台關閉網站
 (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-03-300x65.jpg) (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-03.jpg)
 2、進入PhpMyAdmin備份資料庫,複製一份存檔
 (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-05-283x300.jpg) (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-05.jpg)
 3、刪除所有資料表
 (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-04-212x300.jpg) (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-04.jpg)
 4、用文字編輯器開啟備份檔(.sql)取代所有ecs_並存檔
 (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-06-300x211.jpg) (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-06.jpg)
 5、導入修改過的SQL
 (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-07-300x198.jpg) (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-07.jpg)
 (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-08-300x182.jpg) (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-08.jpg)
 6、打開data/config.php修改前綴資料庫一樣,存檔,完成!
 (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-09-300x154.jpg) (http://www.we-shop.net/wp-content/uploads/2010/06/lunarpages-09.jpg)
 
主題: Re: 如何強化 ec shop 資料庫安全
作者: feng5045八月 14, 2012, 02:12:02 下午
進入PhpMyAdmin備份資料庫時,最底下出現這一段提示:
------------------------------------------------------------------------------
(1) This value is interpreted using strftime, so you can use time formatting strings. Additionally the following transformations will happen: __SERVER__/伺服器名稱, __DB__/資料庫名稱. Other text will be kept as is.
---------------------------------------------------------------------------------
直接按執行會有什麼影響嗎?
主題: Re: 如何強化 ec shop 資料庫安全
作者: andy八月 14, 2012, 02:19:07 下午
沒碰過這問題
不過應該和主機有關
問主機商看看


主題: Re: 如何強化 ec shop 資料庫安全
作者: feng5045八月 14, 2012, 02:28:14 下午
是本機的資料庫
不是主機商的
主題: Re: 如何強化 ec shop 資料庫安全
作者: andy八月 14, 2012, 03:03:29 下午
若不是虛擬主機
那應該是你安裝phpmyadmin或設定有問題
你可以嘗試備份和還原資料庫
若是操作正常就沒問題
否則應該找出問題...
主題: Re: 如何強化 ec shop 資料庫安全
作者: feng5045八月 14, 2012, 04:20:35 下午
請問
資料庫輸出備份後,重新載入時要先將原來的資料先清除在載入嗎?
或是直接載入就會自動覆蓋
主題: Re: 如何強化 ec shop 資料庫安全
作者: andy八月 15, 2012, 10:09:58 上午
若是網站已經開駛運作
最好另開一個測試站
以防萬一

操作方法請參考電子書
主題: Re: 如何強化 ec shop 資料庫安全
作者: feng5045八月 15, 2012, 11:15:10 上午
不同版本的資料庫匯出與載入會有影響嗎?
我本機的MySQL 版本: 5.0.45-community-nt-log
無法上傳到虛擬主機的 MySQL 版本:4.1。
請問有什麼方法可以上傳?
主題: Re: 如何強化 ec shop 資料庫安全
作者: andy八月 15, 2012, 01:41:35 下午
不會吧?
虛擬主機還用mysql4.X
趕快換家吧!