Magento通过/ rss/sales/orders为客户订单提供了一个内置的前端RSS订阅源,这些订单通过页面验证来阻止,这似乎对暴力攻击有效吗?
另外,如果我使用相同的功能通过前端访问来获取其他系统数据(客户列表等)
这种良好的做法是为此输出设置前端单一登录访问吗?
我建议可能阻止访问RSS.它最近遭到了许多Magento商店的猛烈攻击.
它对Brute Force攻击是开放的,并且已知失败并允许访问.
location ~* /rss/order/new {
return 403;
}
location ~* /rss/catalog/notifystock {
return 403;
}
location ~* /rss/catalog/review {
return 403;
}
的.htaccess
RewriteCond %{REQUEST_URI} ^.*/RSS/CATALOG [OR,NC]
RewriteCond %{REQUEST_URI} ^.*/RSS/ORDER [NC]
RewriteRule ^(.*)$ http://%{HTTP_HOST}/ [R=302,L]
感谢一位同事接受了这个.
| 归档时间: |
|
| 查看次数: |
1668 次 |
| 最近记录: |