Аудит безпеки сайту на OpenCart

Наша компанія займається розробкою, підтримкою та обслуговуванням сайтів будь-якої складності. Від простих односторінкових сайтів до масштабних кластерних систем, побудованих на мікро сервісах. Досвід розробників підтверджено сертифікатами від вендорів.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів

Розробка та обслуговування будь-яких видів сайтів:

Інформаційні сайти або веб-програми
Сайти візитки, landing page, корпоративні сайти, онлайн каталоги, квіз, промо-сайти, блоги, ресурси новин, інформаційні портали, форуми, агрегатори
Сайти або веб-програми електронної комерції
Інтернет-магазини, B2B-портали, маркетплейси, онлайн-обмінники, кешбек-сайти, біржі, дропшиппінг-платформи, парсери товарів
Веб-програми для управління бізнес-процесами
CRM-системи, ERP-системи, корпоративні портали, системи управління виробництвом, парсери інформації
Сайти або веб-програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, конструктори сайтів, портали надання електронних послуг, відеохостинги, тематичні портали

Це лише деякі з технічних типів сайтів, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Пропоновані послуги
Показано 1 з 1 послугУсі 2065 послуг
Аудит безпеки сайту на OpenCart
Середня
~2-3 робочих дні
Часті питання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_website-b2b-advance_0.png
    Розробка сайту компанії B2B ADVANCE
    1262
  • image_web-applications_feedme_466_0.webp
    Розробка веб-додатків для компанії FEEDME
    1171
  • image_websites_belfingroup_462_0.webp
    Розробка веб-сайту для компанії БЕЛФІНГРУП
    874
  • image_ecommerce_furnoro_435_0.webp
    Розробка інтернет магазину для компанії FURNORO
    1094
  • image_crm_enviok_479_0.webp
    Розробка веб-додатків для компанії Enviok
    831
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Розробка веб-сайту для компанії ФІКСПЕР
    851
Показати більше робіт

Аудит безпеки сайту на OpenCart

OpenCart — частий об'єкт атак через популярність і передбачувані шляхи до адміністративної панелі. Основні вектори: застарілі розширення з вразливостями, слабкі паролі, незахищений admin-шлях, відкритий phpMyAdmin.

Інструменти сканування

# Сканування директорій
ffuf -w /usr/share/wordlists/dirb/common.txt -u https://shop.com/FUZZ -mc 200,301

# Перевірка заголовків
curl -I https://shop.com/ | grep -i "x-powered\|server\|x-content\|x-frame"

# Конфігурація SSL
testssl.sh --fast https://shop.com/

Контрольний список

Шлях до адміністративної панелі:

Стандартний: /admin/ — перше, що перевіряють боти
Змінити в admin/config.php:
define('HTTP_SERVER', 'https://shop.com/my_secret_admin_path/');

# Nginx: обмежити доступ до admin за IP
location /admin {
    allow 1.2.3.4;
    deny all;
}

Файли для видалення:

# Обов'язково видалити після встановлення
rm -rf install/
ls /var/www/shop.com/install/  # не повинно існувати

# Закрити phpinfo якщо є
find /var/www/shop.com -name "phpinfo.php" -type f -delete

Права файлів:

find /var/www/shop.com -name "config.php" -type f
stat /var/www/shop.com/config.php
# 644 максимум, краще 444

# PHP в upload-директорії
find /var/www/shop.com/image/ -name "*.php"
find /var/www/shop.com/system/storage/upload/ -name "*.php"

# Заборонити PHP в директоріях загрузки
location ~* /image/.*\.(php|phtml)$ { deny all; }
location ~* /system/storage/upload/.*\.(php|phtml)$ { deny all; }

Версія OpenCart та розширення:

# Версія у файлі
grep "VERSION" /var/www/shop.com/catalog/controller/startup/startup.php
# Актуальна: github.com/opencart/opencart/releases

Перевірка розширень на CVE: Шукати у базі вразливостей: https://nvd.nist.gov/vuln/search?query=opencart

Захист від SQL Injection у кастомних розширеннях:

// Небезпечно (розповсюджена помилка в старих розширеннях)
$result = $this->db->query("SELECT * FROM " . DB_PREFIX . "product WHERE sku = '" . $_GET['sku'] . "'");

// Правильно
$sku = $this->db->escape($_GET['sku']);
$result = $this->db->query("SELECT * FROM " . DB_PREFIX . "product WHERE sku = '" . $sku . "'");

CSRF защита: OpenCart використовує токени у формах. Кастомні форми без токенів — вразливі:

// Перевірка токена у кастомному контролері
if (!isset($this->session->data['token']) || $this->session->data['token'] != $this->request->post['token']) {
    $this->response->setOutput(json_encode(['error' => 'CSRF token mismatch']));
    return;
}

Двофакторна аутентифікація: Встановити розширення «2 Factor Authentication for OpenCart» з Marketplace.

Регулярні бекапи: Автоматизувати резервне копіювання: Admin → System → Settings → кнопка Backup/Restore — тільки для ручного бекапу. Для автоматичного — cron + mysqldump.

Моніторинг змін файлів

# Записати хешіи всіх PHP-файлів
find /var/www/shop.com -name "*.php" -exec md5sum {} \; > /backups/checksums-$(date +%Y%m%d).txt

# Порівняти з попередньою версією
diff /backups/checksums-yesterday.txt /backups/checksums-today.txt
# Змінені файли — підозрілі

Терміни

Аудит безпеки OpenCart зі звітом — 1 день.