我对Magento知之甚少,并没有自己构建有问题的网站,但我发现客户网站的local.xml文件是公开访问的 - http://domain.com/app/etc/local.xml,其中包含用户名和密码。 我假设此文件不应公开访问,但Magento是否会自动阻止访问(通过发送403标头)? 对此有何安全隐患?
答案 0 :(得分:6)
世界将拥有您的数据库连接信息,密钥也就在那里,因此他们可以破坏您所有客户的安全信息。
Magento阻止通过该目录中的.htaccess从应用程序访问等。
Order deny,allow
Deny from all
答案 1 :(得分:2)
答案 2 :(得分:2)
除数据库和加密密钥信息外,它还可以包含有关缓存服务器的信息。
答案 3 :(得分:0)
在标准Magento安装中,正确配置的local.xml文件可公开访问并不是安全威胁。
也就是说,如果发生任何与标准服务器配置的偏差,并且以这种或那种方式可以读取文件,那么您可能拥有的所有其他安全措施将变为绝对。
因此,强烈建议不要公开访问此文件,作为故障保护,如果不是其他任何内容。