第4天-WordPress Captcha外掛遭爆有後門，我們來談OC系統有無後門

第4天-WordPress Captcha外掛遭爆有後門，我們來談OC系統有無後門 === # 逾30萬WordPress網站安全拉警報! Captcha外掛遭爆有後門，這則新聞我是覺得很重大，所以先貼出來 https://www.ithome.com.tw/news/119735 # 然後我們再來談談那 OPENCART 的 Captcha插件有沒有後門 OPENCART 的 Captcha插件一樣是官方提供的，驗證碼系統程式碼本人檢查過沒有後門，如果有的話，那就是大新聞了。 ## OPENCART 購物車系統當然有官方提供的2個驗證碼系統 ![](https://i.imgur.com/0tcltAs.jpg) #OPENCATY 驗證碼功能可以添加在那些地方 ============================== 設置方法 [系統管理] -> [商店管理] -> [選項設定] -> 最下方的 [驗證碼] 去設定。可以在這幾個地方添加註冊非會員結帳評論退換貨與我聯絡 --- # 例如聯絡我們的留言原本是這樣 ![](https://i.imgur.com/CG75zCg.jpg) # 添加後就變成這樣有基本驗證碼 ![](https://i.imgur.com/DfdRULT.jpg) # 和圖像驗證碼(Google reCAPTCHA) ![](https://i.imgur.com/WMpvV0B.jpg) # 圖像驗證碼是使用(Google reCAPTCHA)的服務， ![](https://i.imgur.com/6h7SEWO.gif) ![](https://i.imgur.com/n4I6kBx.jpg) ## 後台需要輸入的key要到Google 免費申請網站 key 碼安全 key 碼 ![](https://i.imgur.com/bjJns69.jpg) # 基本驗證碼相對簡單不需要設定什麼參數 ![](https://i.imgur.com/i6qi2fC.jpg) # 這2個插件啟用後你可以添加在以下地方 ![](https://i.imgur.com/UPn1k3B.jpg) 設置方法 [系統管理] -> [商店管理] -> [選項設定] -> 最下方的 [驗證碼] 去設定。可以在這幾個地方添加註冊非會員結帳評論退換貨與我聯絡 --- # GOOGLECaptcha圖像驗證碼申請位置 ------------------------------------- 到 Google reCAPTCHA 網頁註冊您的網站。 https://www.google.com/recaptcha/intro/index.html 申請流程 ``` 使用前必須先到 reCAPTCHA 申請 > 點擊右上角的「Get reCAPTCHA」> 資料填寫完後點擊「Register」。 Label：輸入網站的名稱（自訂） Domains：輸入網域名稱（使用換行可設定多個） Send alerts to owners：當有問題時會主動通知您 ``` ![申請結果](https://i.imgur.com/bgEJjqA.jpg) 申請結果-只要5分鐘你就搞到網站 key 碼安全 key 碼然後把這2組KEY貼到自己OPENCART後台就好了。重點整理 === 怎樣調用opencart的驗證碼功能後台有個擴充功能→驗證類裡面有兩條項目︰基本驗證碼 Google reCAPTCHA (要到https://www.google.com/recaptcha/intro/android.html 綁定網域申請) 這兩項我都已經設定為啟用還要到 [系統管理] > [商店管理] > [選項設定] > 最下方的 [驗證碼] 去設定。可以在這幾個地方添加註冊非會員結帳評論退換貨與我聯絡 # 後計 # OPENCATY 原版有漏洞的地方1 ============================== 可以不輸入-驗證碼-就到下一個頁面原因例如3個地方有驗證碼登入留言評論其中之一有輸入過-驗證碼-就可以不用再輸入驗證碼-按送出就到下一個頁面 --- # 正確修改建議 ============================== 例如 1.在網站任意位置輸入過一次驗證碼就把所有有驗證碼的地方拿掉 2.每次都要驗證沒有例外雖然我認為應該是1 但高層選擇是2 --- 後台登入怎樣增加驗證碼功能 === 購買插件來裝就可以了 ![](https://i.imgur.com/P03lTJy.jpg) ------------------------------------------ 到官方插件市場搜尋關鍵字:admin reCAPTCHA 立刻可以找到一堆要錢的，免費的我試過沒一個能用 ------------------------------------------ | 網址 | 價格 | | ------ | ----------- | |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=25521| $20.00 |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=24385| $20.00 |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=24781| $20.00 |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=17020| 免費 GOOGLE reCAPTCHA 只支援1.5.6.4 |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=25814| 免費只支援2.1.0.2 本文筆記位置: https://hackmd.io/s/HJuHsLjMG