CMS Opencart. Закрытие серьезной уязвимости в OpenCart

manifiks.com.ua
11 років
0
ваш_сайт/system/logs/error.txt
И весь журнал ошибок доступен для всех
Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать. В htaccess добавил

<FilesMatch "error.(txt)$">
Order Allow,Deny
Deny from all
</FilesMatch>

Но нечего не помогло. Логи все равно видны. Если кто знает подскажите как с этим бороться)
toxi
11 років
0
Файл .htaccess поместить в папку с файлом error.txt и вписать в .htaccess такие параметры:

< Files ~ "error.txt">
Order allow,deny
Deny from all
Satisfy all
< /Files>

Удалите только пробелы перед словом Files и /Files

У вас неверно описан файл, к которому нужно закрыть доступ.
manifiks.com.ua
11 років
0
toxi спасибо вам за ответ. Но не помогло все равно доступ открыт. Будем искать выход с этой ситуации.
manifiks.com.ua
11 років
1
Решил эту проблему. htaccess изменил errors.txt на errors.her

И в система -> настройка -> магазин -> сервер изменить:
Файл журнала ошибок: error.her
Тема закрита.