>破解访问控制
>验证所有用户输入,从而避免sql或其他注入
> XSS
>不安全的加密存储 – OC不存储任何敏感数据,默认在线支付选项通过SSL处理
> DOS(间接 – 现在服务器防火墙区分DoS攻击并阻止与IP的通信)
>不安全的直接对象引用(除非直接访问FTP,否则只能上载和下载允许的资源类型)
>安全配置错误 – 无法访问OC配置文件,用户应自行更新其商店…

到目前为止我没有检查/遇到的事情：

>由于外语(不同的编码集)输入导致的缓冲区溢出

弱点(不是缺陷！)：

> OC前端没有很好地保护CSRF,后端是
>会话管理 – 解密会话信息的可能性问题与95％的Web应用程序相同
>直到直接设置/取消设置,OC将报告并显示可能发生的任何错误消息,以帮助攻击者轻松找到可能的漏洞…

从我看来,OC是一个非常安全的开源电子商务解决方案！ (除非得到写得不好的扩展程序的影响……)