Was kann denn schon passieren? Sicherheit in Magento-Shops

Was kann denn schon passieren?

Sicherheit in Magento-Shops

05.07.2016 – Meet Magento DE Andreas von Studnitz – integer_net – @avstudnitz

Andreas von Studnitz Geschäftsführer von integer_net

Diplom-Informatiker

Spezialist für Magento & Solr

Twitter: @avstudnitz

Praxisbeispiel

• Eine Codezeile hinzugefügt

• Liest alle Zugriffe auf admin- und checkout –Bereiche aus

• Verschlüsselt und speichert Daten in media/cache_6e0a32[…]d53ee065da

6 Monate aktiv

1.612 Passwörter

5.628 Datensätze E-Mail-Adresse, Name, Telefon

Alle Admin-Zugänge!

Übersicht

• Auswirkungen von Angriffen

• Angriffstypen

• Vorbeugung

Was kann denn schon passieren? Auswirkungen von Angriffen

154 Dollar kostet ein gestohlener Datensatz im Durchschnitt

350 Firmen in 11 Ländern

3,79 Millionen Dollar Durchschnittliche Gesamtkosten eines Datendiebstahls

Quelle: 2015 Cost of Data Breach Study: Global Analysis www.ibm.com/security/data-breach/

Studie:

Gestohlene Nutzerdaten

Gestohlene Logindaten

Gestohlene Zahlungsdaten

WANT BIG IMPACT?

Use big image.

WANT BIG IMPACT?

Use big image.

50.000$ bei einem Datendiebstahl verloren

Server-Angriffe

WANT BIG IMPACT?

Use big image.

WANT BIG IMPACT?

Use big image.

Wie kann das mit Magento passieren?

Angriffstypen

Ungepatche Magento-Installation

• Neueste Version nicht installiert

• Wichtige Sicherheitspatches nicht angewandt

• (Unsichere PHP-Version)

Beispiel

Shoplift-Bug (gepatcht Februar 2015)

“

Durch Shoplift verwundbare Magento-Shops: 50.581 (von 255.558)

Quelle: byte.nl, April 2016

Unzureichend geschützter Admin-Bereich

• http://magento.site/admin/

• http://magento.site/downloader/

• Benutzername “admin”

• Schwache Passwörter

Was kann ein Angreifer mit Admin-Zugriff ausrichten?

Angriff mit Admin-Zugriff (1)

1.Einloggen

2.Connect Manager aufrufen

3.Individuelle Extension hochladen

Angriff mit Admin-Zugriff (2)

1.Einloggen

2.JavaScript-Code in die System-Konfiguration eintragen

WANT BIG IMPACT?

Use big image.

Sicherheitslücken in Extensions

• Individuelle oder gekaufte Extensions

• SQL Injection, XSS, …

• Hintertüren

• Installationsservice

Wie kann ich Angriffe verhindern?

1. Grundregeln

• Magento und PHP aktualisieren

• Admin-Bereich schützen

• Sicherheits-Mailingliste von Magento abonnieren (magento.com/security/sign-up)

2. Seite prüfen

MageReport.com Sicherheitsrisiken mit wenig Aufwand prüfen www.magereport.com

“ Schwere Sicherheitsprobleme in mehr als 50% meiner Reviews

3. Reviews

Danke!

NOCH FRAGEN? avs@integer-net.de

@avstudnitz

@integer_net

Presentation Template by SlidesCarnival