Изучение состояния установки обновлений в интернет-магазинах на базе открытой платформы электронной коммерции Magento eCommerce (http://www.magentocommerce.com/) показало (http://www.h-online.com/open/news/item/Magento-shops-attacke...), что в случайной выборке из 50 магазинов в примерно половине случаев не были установлены обновления с устранением критической уязвимости (http://framework.zend.com/security/advisory/ZF2012-01) в компоненте Zend XML-RPC, используемом в Magento. Данная уязвимость была исправлена два месяца назад (исправления добавлены в Magento 1.7.0.2 и Zend 1.11.12/1.12.0) и позволяет злоумышленнику получить доступ к любым локальным файлам, например, к файлу с конфигурацией доступа к БД и логу с полной историей покупок. Проблему усугубляет популярность платформы Magento, на базе которой создано более 100 тысяч интернет-магазинов.

URL: http://www.h-online.com/open/news/item/Magento-shops-attacke...
Новость: http://www.opennet.me/opennews/art.shtml?num=34577

• Половина протестированных интернет-магазинов на платформе Ma...,samm, 23:30 , 14-Авг-12
• Половина протестированных интернет-магазинов на платформе Ma...,Аноним, 23:40 , 14-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,samm, 00:30 , 15-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,Аноним, 12:55 , 15-Авг-12
• Половина протестированных интернет-магазинов на платформе Ma...,pavlinux, 03:36 , 15-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,samm, 16:09 , 15-Авг-12
• Половина протестированных интернет-магазинов на платформе Ma...,Умник, 06:52 , 15-Авг-12
• Половина протестированных интернет-магазинов на платформе Ma...,Аноним, 09:09 , 15-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,кверти, 09:17 , 15-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,Аноним, 09:53 , 15-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,Тот самый аноним, 10:19 , 15-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,Аноним, 12:57 , 15-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,xanten, 15:39 , 15-Авг-12
• Половина протестированных интернет-магазинов на платформе Ma...,Аноним, 12:36 , 15-Авг-12
• Половина протестированных интернет-магазинов на платформе Ma...,xanten, 15:36 , 15-Авг-12
  • Половина протестированных интернет-магазинов на платформе Ma...,Алексей, 15:03 , 19-Авг-12

самое смешное что большинство магазинов вообще xml rpc не юзает, но по дефолту оно открыто

Спасибо за инфу. Пошёл взламывать сайты...

скрипт киддю разморозили ) Достаточно просто почитывать security announcment.

Смотри как бы тебя отдел К не "взламал", кид :)

Дык, чего  Magento eCommerce лохи чтоль, кто Интерпрайз покупает - у того дыр нет.
В общем, писатели Опеннет повелись на галимый ПиаР.

> Дык, чего  Magento eCommerce лохи чтоль, кто Интерпрайз покупает - у
> того дыр нет.
> В общем, писатели Опеннет повелись на галимый ПиаР.

Вот врать-то не надо? В EE была точно та же самая дыра, так как это был баг фреймворка а не мадженто. И патчи одновременно были выпущены.

PrestaShop - наше все!

Это всё похэпэ дырявое. Инет-магазины нужно писать на хацкеле или эрлянге.

Много написал?

на паскале, чего уж там, желательно турбо.

Эко как вас, батенька, штырит...
Что ж вы да про node.js забыли?

> Это всё похэпэ дырявое.

"Дело было не в бобине: долбо..б сидел в кабине!"

на JAVA или Ruby, ну или ASP.NET. Все остальное или дырявое, или медленное, а может и то, и другое.

магазины не нужны, даешь матрицу

PHP вместе со всеми CMS фреймворками как было дырявым ведром, расписанным под Хохлому, так и осталось.

Согласен. В особенности для тех, кто не умеет ими правильно пользоваться.