Fórum OpenCart Brasil

Por um e-commerce livre, confiável e profissional.
https://forum.opencartbrasil.com.br/

falha no cadastro de clientes

https://forum.opencartbrasil.com.br/viewtopic.php?t=12425

Página 1 de 1

falha no cadastro de clientes

Enviado: 10 Jun 2015, 23:56
por leandrolanza
Olá pessoal, essa semana aconteceu algo que fiquei meio preocupado pois parece ser falha de segurança, eu recebi um cadastro de um cliente que não recebi nenhum email sobre esse cadastro e não apareceu nem em atividades recentes, verifiquei o cadastro desse cliente e tinha algumas informações incoerentes, então resolvi pegar no banco de dados, veja como estava esse cadastro.

customer_id = 3
customer_group_id = 1
store_id = 0
fistname = Carla
lastname = Siqueira
email = carla siqueira@dominio.com.br
telefone = 01432659874
passwod = 3f050d0272049b0ed70a6c6d5832a988f528a03e
salt = 3b126ce5b
cart = NULL
wishlist = NULL
newslatter = 0
address_id = 3
custom_field = a:0:{}
ip = 186.222.75.13
status = 1
aprovad = 1
safe = 0
date = 2015-06-10 20:48:32

o estranho é que os campos cart, custom_field esta diferente de todos os outros cadastro, alguem já passou por isso ou sabe o que pode ser.

obrigado

Re: falha no cadastro de clientes

Enviado: 13 Jun 2015, 20:57
por veteranodf
Todos os dias pessoas tenta invadir sites para se beneficiar de algum jeito, esse ai aparentemente só se cadastrou para ver como funciona a loja ou o tema, se você conhecer de segurança e adotar as mesmas em seu site não deve se preocupar, vou te passar algumas dicas importantes que ninguém, repito, ninguém adota, mais quem sabe você começa a adotar;

1º. Mude o nome da pasta admin para outro nome, dessa forma ninguém vai tentar invadir a admin
2º. Crie um usuário para se conectar ao banco de dados com permissões reduzidas, digo sem permissões de excluir tabelas, colunas, dados para a frente da loja e outro usuário com mais permissões para a admin, não vou ensinar como fazer isso pois é algo simples, caso não souber deve pesquisar;
3º. Crie um script para validar dados por GET e POST, somente para filtrar dados de possível tentativas de invasão por sql injection, caso o script identificar algo enviar email para o admin;

Essas são algumas dicas que posso te passar;

Re: falha no cadastro de clientes

Enviado: 17 Jun 2015, 23:07
por leandrolanza
Obrigado pela dica veteranodf, eu já adotei diversas ferramentas de segurança e algumas dessas que você citou também usei, eu gostei da 3º, você tem esse script ou pegou na internet.

pra te ajudar e também o pessoal aqui do forum utilizo algumas ferramentas que me ajuda muito com a questão de segurança como o mod_security e mod_evasive do apache, e diversas ferramentas da OWASP que são ferramentas gratuitas e muito boas

Obrigado pela ajuda veteranodf
Todos os horários são UTC-03:00
Página 1 de 1

Powered by phpBB® Forum Software © phpBB Limited

Traduzido por: Suporte phpBB