如果Magento中的local.xml可公开访问,有哪些安全问题?

时间:2012-06-12 14:24:36

标签: security magento

我对Magento知之甚少,并没有自己构建有问题的网站,但我发现客户网站的local.xml文件是公开访问的 - http://domain.com/app/etc/local.xml,其中包含用户名和密码。 我假设此文件不应公开访问,但Magento是否会自动阻止访问(通过发送403标头)? 对此有何安全隐患?

4 个答案:

答案 0 :(得分:6)

世界将拥有您的数据库连接信息,密钥也就在那里,因此他们可以破坏您所有客户的安全信息。

Magento阻止通过该目录中的.htaccess从应用程序访问等。

Order deny,allow
Deny from all

答案 1 :(得分:2)

答案 2 :(得分:2)

除数据库和加密密钥信息外,它还可以包含有关缓存服务器的信息。

答案 3 :(得分:0)

在标准Magento安装中,正确配置的local.xml文件可公开访问并不是安全威胁。

也就是说,如果发生任何与标准服务器配置的偏差,并且以这种或那种方式可以读取文件,那么您可能拥有的所有其他安全措施将变为绝对。

因此,强烈建议不要公开访问此文件,作为故障保护,如果不是其他任何内容。