Post on 14-Apr-2017
Was kann denn schon passieren?
Sicherheit in Magento-Shops
05.07.2016 – Meet Magento DE Andreas von Studnitz – integer_net – @avstudnitz
Andreas von Studnitz Geschäftsführer von integer_net
Diplom-Informatiker
Spezialist für Magento & Solr
Twitter: @avstudnitz
Praxisbeispiel
• Eine Codezeile hinzugefügt
• Liest alle Zugriffe auf admin- und checkout –Bereiche aus
• Verschlüsselt und speichert Daten in media/cache_6e0a32[…]d53ee065da
6 Monate aktiv
1.612 Passwörter
5.628 Datensätze E-Mail-Adresse, Name, Telefon
Alle Admin-Zugänge!
Übersicht
• Auswirkungen von Angriffen
• Angriffstypen
• Vorbeugung
Was kann denn schon passieren? Auswirkungen von Angriffen
154 Dollar kostet ein gestohlener Datensatz im Durchschnitt
350 Firmen in 11 Ländern
3,79 Millionen Dollar Durchschnittliche Gesamtkosten eines Datendiebstahls
Quelle: 2015 Cost of Data Breach Study: Global Analysis www.ibm.com/security/data-breach/
Studie:
Gestohlene Nutzerdaten
Gestohlene Logindaten
Gestohlene Zahlungsdaten
WANT BIG IMPACT?
Use big image.
WANT BIG IMPACT?
Use big image.
50.000$ bei einem Datendiebstahl verloren
Server-Angriffe
WANT BIG IMPACT?
Use big image.
WANT BIG IMPACT?
Use big image.
Wie kann das mit Magento passieren?
Angriffstypen
Ungepatche Magento-Installation
• Neueste Version nicht installiert
• Wichtige Sicherheitspatches nicht angewandt
• (Unsichere PHP-Version)
Beispiel
Shoplift-Bug (gepatcht Februar 2015)
“
Durch Shoplift verwundbare Magento-Shops: 50.581 (von 255.558)
Quelle: byte.nl, April 2016
Unzureichend geschützter Admin-Bereich
• http://magento.site/admin/
• http://magento.site/downloader/
• Benutzername “admin”
• Schwache Passwörter
Was kann ein Angreifer mit Admin-Zugriff ausrichten?
Angriff mit Admin-Zugriff (1)
1.Einloggen
2.Connect Manager aufrufen
3.Individuelle Extension hochladen
Angriff mit Admin-Zugriff (2)
1.Einloggen
2.JavaScript-Code in die System-Konfiguration eintragen
WANT BIG IMPACT?
Use big image.
Sicherheitslücken in Extensions
• Individuelle oder gekaufte Extensions
• SQL Injection, XSS, …
• Hintertüren
• Installationsservice
Wie kann ich Angriffe verhindern?
1. Grundregeln
• Magento und PHP aktualisieren
• Admin-Bereich schützen
• Sicherheits-Mailingliste von Magento abonnieren (magento.com/security/sign-up)
2. Seite prüfen
MageReport.com Sicherheitsrisiken mit wenig Aufwand prüfen www.magereport.com
“ Schwere Sicherheitsprobleme in mehr als 50% meiner Reviews
3. Reviews
Danke!
NOCH FRAGEN? avs@integer-net.de
@avstudnitz
@integer_net
Presentation Template by SlidesCarnival