Подскажите. Мне предлагают изготовить ИМ купив скрипты на http://www.shop-script.ru. Хорошо это или плохо? Нужен простой ИМ.
12/03/2006
Хочу купить Shop Script. Нужно поменять убогий дизайн. Сколько это стоит и время на разработку дизайна fashion shop. Можно ли использовать с Templater.ru ? Буду благодарен предложениям по email.
12/03/2006
2Папа Кастет
ВОт тоже думал насчет шоп-скрипта, после Вашего поста - озадачился :)
А какой свежести эти сведения? Разработчики у себя на сайте пишут, что все под контролем: http://www.shop-script.ru/php-shopping- ... html#faq14
ВОт тоже думал насчет шоп-скрипта, после Вашего поста - озадачился :)
А какой свежести эти сведения? Разработчики у себя на сайте пишут, что все под контролем: http://www.shop-script.ru/php-shopping- ... html#faq14
12/03/2006
Сведения свежие. Возможно, что дыры прикрыты, но далеко не все. Там очень голый код, а что касается безопасности - так там вообще люди, похоже, о ней не слышали. А в хакере описаны 3 или 4 метода взлома. Есть ещё уйма. Вообще, вся безопасность любого продукта рассчитана на защиту от случайного дурака. Если есть задача - сломать, то сломается всё. Спросите у них - в каком сейчас виде находятся данные в базе - шифруются или нет?
12/03/2006
Честно говоря, я совсем не программист, мне сложно вести разговор по соответствующим "понятиям" :)
Для пробных версий пишут, что "Требуется ionCube Loader (расширение/модуль для PHP, позволяющее запускать PHP-файлы, закодированные по технологии ionCube). То есть, видимо, какое-то кодирование чего-то присутствует? Или это не о том?
А вообще, я, пожалуй, скину разработчикам ссылку на это обсуждение, пусть сами и ответят по существу...
Для пробных версий пишут, что "Требуется ionCube Loader (расширение/модуль для PHP, позволяющее запускать PHP-файлы, закодированные по технологии ionCube). То есть, видимо, какое-то кодирование чего-то присутствует? Или это не о том?
А вообще, я, пожалуй, скину разработчикам ссылку на это обсуждение, пусть сами и ответят по существу...
13/03/2006
Это не то кодирование. Это кодируют тестовые версии, чтобы умные персонажи не смогли увидеть исходный код =) Чтобы изменений нельзя внести было. А там везде - "это демо-версия, купить скрипт" =) И никак не убрать) Только купить ) Хотя, обнулить тоже можно) Вообще, чтобы спрятать исходник, большинство кодирует Zend ом.
13/03/2006
Здравствуйте.
Я представляю группу Артикус, разработчика программного продукта Shop-Script. В первую очередь хотел бы поблагодарить всех за проявленный интерес к данной теме.
Задачи по перепроверке описанных пользователем Папа Кастет пунктам по вопросу безопасности были поставлены. В случае обнаружения упущений в защите продукта, уязвимости будут незамедлимо (1-2 дня) исправлены, после чего обновленные версии продуктов Shop-Script станут доступны для скачивания всем нашим клиентам.
Мы осознаем, что вопрос безопасности является очень важным, поэтому уделяем ему большое внимание. Позволю не согласиться с тем, что степень защищенности наших продуктов нулевая - это далеко не так. Учитывая то, что предусмотреть полную защищенность готового продукта, столь "объемного" как Shop-Script PREMIUM, практически невозможно (это усугубляется тем, что продукт поставляется в открытых исходных кодах, за счет чего можно полностью изучить схему работы скриптов), главным направлением в разработке мы считаем не дискуссии и споры на тему безопасности, а быстрое реагирование на любые сообщения, связанные с безопасностью. При выпуске новых релизов, мы проводим как "ручное" тестирование скриптов, так и тестирование с помощью автоматизированных систем тестирования веб-приложений.
Необходимо понимать, что в любом крупном веб-приложении могут быть найдены уязвимости (в том числе и в обсуждаемом здесь osCommerce - http://www.google.com/search?sourceid=n ... mmerce+xss).
Мы считаем, что выводы о степени безопасности продукта некорректно делать, основываясь только на подобных сообщениях. В большей степени нужно учитывать оперативность реакции производителя на подобные сообщения и время устранения потенциальных уязвимостей.
Если у вас есть вопросы к нам, пожалуйста, обращайтесь в круглосуточную службу поддержки: http://www.shop-script.ru/support.html
Мы будем рады ответить на все Ваши вопросы.
С уважением,
Руководитель проекта Shop-Script
Тупоршин Владимир
Я представляю группу Артикус, разработчика программного продукта Shop-Script. В первую очередь хотел бы поблагодарить всех за проявленный интерес к данной теме.
Задачи по перепроверке описанных пользователем Папа Кастет пунктам по вопросу безопасности были поставлены. В случае обнаружения упущений в защите продукта, уязвимости будут незамедлимо (1-2 дня) исправлены, после чего обновленные версии продуктов Shop-Script станут доступны для скачивания всем нашим клиентам.
Мы осознаем, что вопрос безопасности является очень важным, поэтому уделяем ему большое внимание. Позволю не согласиться с тем, что степень защищенности наших продуктов нулевая - это далеко не так. Учитывая то, что предусмотреть полную защищенность готового продукта, столь "объемного" как Shop-Script PREMIUM, практически невозможно (это усугубляется тем, что продукт поставляется в открытых исходных кодах, за счет чего можно полностью изучить схему работы скриптов), главным направлением в разработке мы считаем не дискуссии и споры на тему безопасности, а быстрое реагирование на любые сообщения, связанные с безопасностью. При выпуске новых релизов, мы проводим как "ручное" тестирование скриптов, так и тестирование с помощью автоматизированных систем тестирования веб-приложений.
Необходимо понимать, что в любом крупном веб-приложении могут быть найдены уязвимости (в том числе и в обсуждаемом здесь osCommerce - http://www.google.com/search?sourceid=n ... mmerce+xss).
Мы считаем, что выводы о степени безопасности продукта некорректно делать, основываясь только на подобных сообщениях. В большей степени нужно учитывать оперативность реакции производителя на подобные сообщения и время устранения потенциальных уязвимостей.
Если у вас есть вопросы к нам, пожалуйста, обращайтесь в круглосуточную службу поддержки: http://www.shop-script.ru/support.html
Мы будем рады ответить на все Ваши вопросы.
С уважением,
Руководитель проекта Shop-Script
Тупоршин Владимир
13/03/2006
Гы-гы-гы, ну прям убили OSC :)
Фикс для нее появился через несколько часов после того как стало о нем известно. Причем надо сказать абсолютно бесплатно. Так будет и впредь, потому что на OSC работает десятки тысяч магазов по всему миру.
Фикс для нее появился через несколько часов после того как стало о нем известно. Причем надо сказать абсолютно бесплатно. Так будет и впредь, потому что на OSC работает десятки тысяч магазов по всему миру.
13/03/2006
Владимир, спасибо за ответ. Напишите потом, чем дело кончилось? А Папе, если подтвердится - пиво... ;)
13/03/2006
Andrex, сейчас скачаю демку с их сайта. Пробегусь по поверхности =))))
А с ОСК правда убили =) И это при том, что 95 владельцев скрипта сессии отключают для лучшей индексации.
А с ОСК правда убили =) И это при том, что 95 владельцев скрипта сессии отключают для лучшей индексации.
14/03/2006
Вобсчем, ситуация забавная =) C алертом в поле заказа уже не проходит. Не прошло и года =)))))))))) Теперь далее. Если мы хотим получить админскую часть, то у нас есть масса других вариантов, а именно: через инъекции sql. Посмотрим базу скрипта (sql) и посчитаем количество столбцов. Или подберём прогой. Далее - всё в браузер, в строку. Думаю. тут учить не надо. Работает. Теперь вообще шедевры скриптописания: скрипт юзает параметр aux_page и через него смотрит файлы. Что мы и сделаем. Гадать ничего не надо - мы знаем название файла-конфига. пример: index.php?aux_page=../cfg/connect.inc.php Красота? Смотрим хтмл код страницы и наслаждаемся полными данными к базе. Однако, сейчас по быстрому глянул - данная тема не работает на ПРО. (Пока=)) ) Видимо, закрыли. По крайней мере на демо-части. (себе не ставил - влом). Далее. Остаётся вариант инъекции админа через браузер (ну это не совсем к скрипту относится). Ещё. Отсутствует проверка расширения загружаемого файла(!) для категории. То есть скрипту все равно - жпег это или пхп. Это клиника. То есть заливаем шелл на сервак и пьём пивасик. И последнее на сегодня: посмотрите эти магазины - http://zvet.ru/index.php?aux_page=../cf ... ct.inc.php ; http://voblery.ru/index.php?aux_page=.. ... ct.inc.php ; http://www.varmintershop.ru/index.php?a ... ct.inc.php и так далее. Это магазины,созданные на Шоп-Скрипт. На более ранних версиях,чем ПРО. И что? Ничего не изменилось, людей никто не поставил в известность, что эти магазины - ДЫРЯВЫЕ! И, главное, пол-рунета знает про эти дыры, а магазины так и работают =) Неужели разработчикам сложно написать письмо клиентам ранних версий или выслать патчик? Сложно, по ходу =)) И вот подумайте, господа - нужно ли вам такой скрипт и такая "поддержка" клиентов? Ведь завтра, в новой версии скрипта, всплывут новые дыры, но разработчики не помогут их вам прикрыть и вы останетесь в счастливом неведении, до тех пор, пока магаз не вскроют. Грустно.
14/03/2006
Папа, Вы разбили мне сердце ;)
Очень мне нравилась их презентация системы на сайте, ну ничего не могу с собой поделать, по жизни ведусь на красивые картинки :)
А вот теперь - во что верить? Кому вручить судьбу себя и свово бизнеса? Эх... :)
Спасибо за Ваши опыты, надеюсь, они подтолкнут кого нужно в сторону более внимательного отношения к программированию...
Еще раз спасибо. Пойду искать другую магазинку... :)
Очень мне нравилась их презентация системы на сайте, ну ничего не могу с собой поделать, по жизни ведусь на красивые картинки :)
А вот теперь - во что верить? Кому вручить судьбу себя и свово бизнеса? Эх... :)
Спасибо за Ваши опыты, надеюсь, они подтолкнут кого нужно в сторону более внимательного отношения к программированию...
Еще раз спасибо. Пойду искать другую магазинку... :)
14/03/2006
В известность ставятся пользователи лицензионных версий скриптов, то есть интернет-магазины, которые зарегистрированы в базе данных наших покупателей.
Мы не заинтересованы в слежении за безопасностью интернет-магазинов, построенных на основе нелегальных установок продукта.
Если кого-либо интересует информация по поводу описанных пользователем Папа Кастет и/или наши комментарии по этому поводу, пожалуйста, обращайтесь к нас по электронной почте по адресу support [at] shop-script.ru
Мы не заинтересованы в слежении за безопасностью интернет-магазинов, построенных на основе нелегальных установок продукта.
Если кого-либо интересует информация по поводу описанных пользователем Папа Кастет и/или наши комментарии по этому поводу, пожалуйста, обращайтесь к нас по электронной почте по адресу support [at] shop-script.ru
Ответить