我找到了“测试指南”,但它编号为300 pages.阅读它并自己测试会很好,但我想知道是否有人已经完成了这项工作.当我搜索这个问题时,我在OC论坛上找到了关于PCI合规性的thread,但这是一个切入点.

所以有人知道,特别是,如果OpenCart对OWASP十大威胁列表进行了强化吗？

解决方法:

AFAIK,以及我糟糕的测试(因为我知道如何编写OC),我可以说,基础OC(没有任何第三方扩展)是安全的：

>破解访问控制
>验证所有用户输入,从而避免SQL或其他注入
> XSS
>不安全的加密存储 – OC不存储任何敏感数据,默认在线支付选项通过SSL处理
> DoS(间接 – 现在服务器防火墙区分DoS攻击并阻止与IP的通信)
>不安全的直接对象引用(除非直接访问FTP,否则只能上载和下载允许的资源类型)
>安全配置错误 – 无法访问OC配置文件,用户应自行更新其商店…

到目前为止我没有检查/遇到的事情：

>由于外语(不同的编码集)输入导致的缓冲区溢出

弱点(不是缺陷！)：

> OC前端没有很好地保护CSRF,后端是
>会话管理 – 解密会话信息的可能性问题与95％的Web应用程序相同
>直到直接设置/取消设置,OC将报告并显示可能发生的任何错误消息,以帮助攻击者轻松找到可能的漏洞…

从我看来,OC是一个非常安全的开源电子商务解决方案！ (除非得到写得不好的扩展程序的影响……)