CMS Opencart. Закрытие серьезной уязвимости в OpenCart
|
ваш_сайт/system/logs/error.txt
И весь журнал ошибок доступен для всех
Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать. В htaccess добавил
<FilesMatch "error.(txt)$">
Order Allow,Deny
Deny from all
</FilesMatch>
Но нечего не помогло. Логи все равно видны. Если кто знает подскажите как с этим бороться)
|
|
Файл .htaccess поместить в папку с файлом error.txt и вписать в .htaccess такие параметры:
< Files ~ "error.txt">
Order allow,deny
Deny from all
Satisfy all
< /Files>
Удалите только пробелы перед словом Files и /Files
У вас неверно описан файл, к которому нужно закрыть доступ.
|
|
toxi спасибо вам за ответ. Но не помогло все равно доступ открыт. Будем искать выход с этой ситуации.
|
|
Решил эту проблему. htaccess изменил errors.txt на errors.her
И в система -> настройка -> магазин -> сервер изменить:
Файл журнала ошибок: error.her
|
Тема закрита.