Was kann denn schon passieren? Sicherheit in Magento-Shops
-
Upload
andreas-von-studnitz -
Category
Internet
-
view
505 -
download
1
Transcript of Was kann denn schon passieren? Sicherheit in Magento-Shops
![Page 1: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/1.jpg)
Was kann denn schon passieren?
Sicherheit in Magento-Shops
05.07.2016 – Meet Magento DE Andreas von Studnitz – integer_net – @avstudnitz
![Page 2: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/2.jpg)
Andreas von Studnitz Geschäftsführer von integer_net
Diplom-Informatiker
Spezialist für Magento & Solr
Twitter: @avstudnitz
![Page 3: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/3.jpg)
Praxisbeispiel
• Eine Codezeile hinzugefügt
• Liest alle Zugriffe auf admin- und checkout –Bereiche aus
• Verschlüsselt und speichert Daten in media/cache_6e0a32[…]d53ee065da
![Page 4: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/4.jpg)
![Page 5: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/5.jpg)
6 Monate aktiv
1.612 Passwörter
5.628 Datensätze E-Mail-Adresse, Name, Telefon
![Page 6: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/6.jpg)
Alle Admin-Zugänge!
![Page 7: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/7.jpg)
Übersicht
• Auswirkungen von Angriffen
• Angriffstypen
• Vorbeugung
![Page 8: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/8.jpg)
Was kann denn schon passieren? Auswirkungen von Angriffen
![Page 9: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/9.jpg)
154 Dollar kostet ein gestohlener Datensatz im Durchschnitt
350 Firmen in 11 Ländern
3,79 Millionen Dollar Durchschnittliche Gesamtkosten eines Datendiebstahls
Quelle: 2015 Cost of Data Breach Study: Global Analysis www.ibm.com/security/data-breach/
Studie:
![Page 10: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/10.jpg)
Gestohlene Nutzerdaten
![Page 11: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/11.jpg)
Gestohlene Logindaten
![Page 12: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/12.jpg)
Gestohlene Zahlungsdaten
![Page 13: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/13.jpg)
WANT BIG IMPACT?
Use big image.
![Page 14: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/14.jpg)
WANT BIG IMPACT?
Use big image.
50.000$ bei einem Datendiebstahl verloren
![Page 15: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/15.jpg)
Server-Angriffe
![Page 16: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/16.jpg)
WANT BIG IMPACT?
Use big image.
![Page 17: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/17.jpg)
WANT BIG IMPACT?
Use big image.
![Page 18: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/18.jpg)
Wie kann das mit Magento passieren?
Angriffstypen
![Page 19: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/19.jpg)
Ungepatche Magento-Installation
• Neueste Version nicht installiert
• Wichtige Sicherheitspatches nicht angewandt
• (Unsichere PHP-Version)
![Page 20: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/20.jpg)
Beispiel
Shoplift-Bug (gepatcht Februar 2015)
![Page 21: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/21.jpg)
“
Durch Shoplift verwundbare Magento-Shops: 50.581 (von 255.558)
Quelle: byte.nl, April 2016
![Page 22: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/22.jpg)
Unzureichend geschützter Admin-Bereich
• http://magento.site/admin/
• http://magento.site/downloader/
• Benutzername “admin”
• Schwache Passwörter
![Page 23: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/23.jpg)
Was kann ein Angreifer mit Admin-Zugriff ausrichten?
![Page 24: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/24.jpg)
Angriff mit Admin-Zugriff (1)
1.Einloggen
2.Connect Manager aufrufen
3.Individuelle Extension hochladen
![Page 25: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/25.jpg)
Angriff mit Admin-Zugriff (2)
1.Einloggen
2.JavaScript-Code in die System-Konfiguration eintragen
![Page 26: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/26.jpg)
WANT BIG IMPACT?
Use big image.
![Page 27: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/27.jpg)
![Page 28: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/28.jpg)
Sicherheitslücken in Extensions
• Individuelle oder gekaufte Extensions
• SQL Injection, XSS, …
• Hintertüren
• Installationsservice
![Page 29: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/29.jpg)
Wie kann ich Angriffe verhindern?
![Page 30: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/30.jpg)
1. Grundregeln
• Magento und PHP aktualisieren
• Admin-Bereich schützen
• Sicherheits-Mailingliste von Magento abonnieren (magento.com/security/sign-up)
![Page 31: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/31.jpg)
2. Seite prüfen
MageReport.com Sicherheitsrisiken mit wenig Aufwand prüfen www.magereport.com
![Page 32: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/32.jpg)
“ Schwere Sicherheitsprobleme in mehr als 50% meiner Reviews
3. Reviews
![Page 33: Was kann denn schon passieren? Sicherheit in Magento-Shops](https://reader031.fdokument.com/reader031/viewer/2022021814/58f09d851a28abb83c8b456f/html5/thumbnails/33.jpg)
Danke!
NOCH FRAGEN? [email protected]
@avstudnitz
@integer_net
Presentation Template by SlidesCarnival