我对 Magento 知之甚少,也没有自己建立相关网站,但我发现客户网站的 local.xml 文件可以公开访问 - http://domain.com/app/etc/local.xml包含用户名和密码。我假设这个文件不应该公开访问,但 Magento 不会自动阻止访问(通过发送 403 标头)?这对安全有什么影响?
问问题
3436 次
4 回答
6
世界将拥有您的数据库连接信息,并且密钥就在那里,因此他们可以破坏您客户的所有安全信息。
Magento 阻止应用程序通过该目录中的 .htaccess 访问 etc。
Order deny,allow
Deny from all
于 2012-06-12T14:28:41.810 回答
2
于 2012-06-12T14:49:47.177 回答
2
除了数据库和加密密钥信息之外,它还可以包含有关缓存服务器的信息。
于 2012-06-12T15:54:14.000 回答
0
在标准的 Magento 安装中,正确配置为可公开访问 local.xml 文件不是安全威胁。
也就是说,如果与标准服务器配置发生任何偏差,并且以一种或另一种方式读取文件成为可能,那么您可能采取的所有其他安全措施都将变得绝对。
因此,强烈建议不要公开访问此文件,以防万一,如果不是其他的话。
于 2014-05-12T11:55:51.597 回答