第4天-WordPress Captcha外掛遭爆有後門,我們來談OC系統有無後門 === # 逾30萬WordPress網站安全拉警報! Captcha外掛遭爆有後門,這則新聞 我是覺得很重大,所以先貼出來 https://www.ithome.com.tw/news/119735 # 然後我們再來談談 那 OPENCART 的 Captcha插件 有沒有後門 OPENCART 的 Captcha插件 一樣是官方提供的,驗證碼系統程式碼本人檢查過沒有後門,如果有的話,那就是大新聞了。 ## OPENCART 購物車系統當然有 官方提供的2個驗證碼系統 ![](https://i.imgur.com/0tcltAs.jpg) #OPENCATY 驗證碼功能 可以添加 在那些地方 ============================== 設置方法 [系統管理] -> [商店管理] -> [選項設定] -> 最下方的 [驗證碼] 去設定。 可以在這幾個地方添加 註冊 非會員結帳 評論 退換貨 與我聯絡 --- # 例如 聯絡我們的留言原本是這樣 ![](https://i.imgur.com/CG75zCg.jpg) # 添加後就變成這樣 有 基本驗證碼 ![](https://i.imgur.com/DfdRULT.jpg) # 和 圖像驗證碼(Google reCAPTCHA) ![](https://i.imgur.com/WMpvV0B.jpg) # 圖像驗證碼 是使用(Google reCAPTCHA)的服務, ![](https://i.imgur.com/6h7SEWO.gif) ![](https://i.imgur.com/n4I6kBx.jpg) ## 後台需要輸入 的key要到Google 免費申請 網站 key 碼 安全 key 碼 ![](https://i.imgur.com/bjJns69.jpg) # 基本驗證碼 相對 簡單 不需要設定什麼參數 ![](https://i.imgur.com/i6qi2fC.jpg) # 這2個插件啟用後你可以添加 在以下地方 ![](https://i.imgur.com/UPn1k3B.jpg) 設置方法 [系統管理] -> [商店管理] -> [選項設定] -> 最下方的 [驗證碼] 去設定。 可以在這幾個地方添加 註冊 非會員結帳 評論 退換貨 與我聯絡 --- # GOOGLECaptcha圖像驗證碼申請位置 ------------------------------------- 到 Google reCAPTCHA 網頁註冊您的網站。 https://www.google.com/recaptcha/intro/index.html 申請流程 ``` 使用前必須先到 reCAPTCHA 申請 > 點擊右上角的「Get reCAPTCHA」> 資料填寫完後點擊「Register」。 Label:輸入網站的名稱(自訂) Domains:輸入網域名稱(使用換行可設定多個) Send alerts to owners:當有問題時會主動通知您 ``` ![申請結果](https://i.imgur.com/bgEJjqA.jpg) 申請結果-只要5分鐘你就搞到 網站 key 碼 安全 key 碼 然後把這2組KEY貼到自己OPENCART後台就好了。 重點整理 === 怎樣調用opencart的驗證碼功能 後台有個擴充功能→驗證類 裡面有兩條項目︰ 基本驗證碼 Google reCAPTCHA (要到https://www.google.com/recaptcha/intro/android.html 綁定網域申請) 這兩項我都已經設定為啟用 還要到 [系統管理] > [商店管理] > [選項設定] > 最下方的 [驗證碼] 去設定。 可以在這幾個地方添加 註冊 非會員結帳 評論 退換貨 與我聯絡 # 後計 # OPENCATY 原版有漏洞 的地方1 ============================== 可以不輸入-驗證碼-就到下一個頁面 原因例如3個地方有驗證碼 登入 留言 評論 其中之一有輸入過-驗證碼-就可以不用再輸入驗證碼-按送出就到下一個頁面 --- # 正確修改建議 ============================== 例如 1.在網站任意位置輸入過一次驗證碼就把所有有驗證碼的地方拿掉 2.每次都要驗證沒有例外 雖然我認為應該是1 但高層選擇是2 --- 後台登入 怎樣增加驗證碼功能 === 購買插件來裝就可以了 ![](https://i.imgur.com/P03lTJy.jpg) ------------------------------------------ 到官方插件市場 搜尋關鍵字:admin reCAPTCHA 立刻可以找到一堆要錢的,免費的我試過沒一個能用 ------------------------------------------ | 網址 | 價格 | | ------ | ----------- | |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=25521| $20.00 |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=24385| $20.00 |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=24781| $20.00 |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=17020| 免費 GOOGLE reCAPTCHA 只支援1.5.6.4 |https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=25814| 免費 只支援2.1.0.2 本文筆記位置: https://hackmd.io/s/HJuHsLjMG