Как не нужно устанавливать код электронной коммерции
Установка электронной коммерции на сайт — несложная задача.
Например для того что бы отправить информацию о заказе, требуется установить код на финальном шаге оформления:
Поддерживая интернет магазин на Битриксе с решением от АСПРО, я был приятно удивлен, что вся установка сводится к тому, что бы поставить 2 галочки.
Все же решил проверить как это устроено и оказалось не зря. На сайте есть хитрый файл /ajax/goals.php куда идет запрос на получение нужных данных:
Вот так выглядит файл /ajax/goals.php
Только вот разработчики АСПРО не учли, что обращение к файлу никак не защищено, и любой желающий может получить информацию по любому заказу, отправив нужный ID.
Не стоит создавать подобные файлы, либо защищайте запросы токенами или другими способами.
0
показов
298
открытий
0
Комментарии