33
Was kann denn schon passieren? Sicherheit in Magento-Shops 05.07.2016 – Meet Magento DE Andreas von Studnitz – integer_net – @avstudnitz

Was kann denn schon passieren? Sicherheit in Magento-Shops

Embed Size (px)

Citation preview

Page 1: Was kann denn schon passieren? Sicherheit in Magento-Shops

Was kann denn schon passieren?

Sicherheit in Magento-Shops

05.07.2016 – Meet Magento DE Andreas von Studnitz – integer_net – @avstudnitz

Page 2: Was kann denn schon passieren? Sicherheit in Magento-Shops

Andreas von Studnitz Geschäftsführer von integer_net

Diplom-Informatiker

Spezialist für Magento & Solr

Twitter: @avstudnitz

Page 3: Was kann denn schon passieren? Sicherheit in Magento-Shops

Praxisbeispiel

• Eine Codezeile hinzugefügt

• Liest alle Zugriffe auf admin- und checkout –Bereiche aus

• Verschlüsselt und speichert Daten in media/cache_6e0a32[…]d53ee065da

Page 4: Was kann denn schon passieren? Sicherheit in Magento-Shops
Page 5: Was kann denn schon passieren? Sicherheit in Magento-Shops

6 Monate aktiv

1.612 Passwörter

5.628 Datensätze E-Mail-Adresse, Name, Telefon

Page 6: Was kann denn schon passieren? Sicherheit in Magento-Shops

Alle Admin-Zugänge!

Page 7: Was kann denn schon passieren? Sicherheit in Magento-Shops

Übersicht

• Auswirkungen von Angriffen

• Angriffstypen

• Vorbeugung

Page 8: Was kann denn schon passieren? Sicherheit in Magento-Shops

Was kann denn schon passieren? Auswirkungen von Angriffen

Page 9: Was kann denn schon passieren? Sicherheit in Magento-Shops

154 Dollar kostet ein gestohlener Datensatz im Durchschnitt

350 Firmen in 11 Ländern

3,79 Millionen Dollar Durchschnittliche Gesamtkosten eines Datendiebstahls

Quelle: 2015 Cost of Data Breach Study: Global Analysis www.ibm.com/security/data-breach/

Studie:

Page 10: Was kann denn schon passieren? Sicherheit in Magento-Shops

Gestohlene Nutzerdaten

Page 11: Was kann denn schon passieren? Sicherheit in Magento-Shops

Gestohlene Logindaten

Page 12: Was kann denn schon passieren? Sicherheit in Magento-Shops

Gestohlene Zahlungsdaten

Page 13: Was kann denn schon passieren? Sicherheit in Magento-Shops

WANT BIG IMPACT?

Use big image.

Page 14: Was kann denn schon passieren? Sicherheit in Magento-Shops

WANT BIG IMPACT?

Use big image.

50.000$ bei einem Datendiebstahl verloren

Page 15: Was kann denn schon passieren? Sicherheit in Magento-Shops

Server-Angriffe

Page 16: Was kann denn schon passieren? Sicherheit in Magento-Shops

WANT BIG IMPACT?

Use big image.

Page 17: Was kann denn schon passieren? Sicherheit in Magento-Shops

WANT BIG IMPACT?

Use big image.

Page 18: Was kann denn schon passieren? Sicherheit in Magento-Shops

Wie kann das mit Magento passieren?

Angriffstypen

Page 19: Was kann denn schon passieren? Sicherheit in Magento-Shops

Ungepatche Magento-Installation

• Neueste Version nicht installiert

• Wichtige Sicherheitspatches nicht angewandt

• (Unsichere PHP-Version)

Page 20: Was kann denn schon passieren? Sicherheit in Magento-Shops

Beispiel

Shoplift-Bug (gepatcht Februar 2015)

Page 21: Was kann denn schon passieren? Sicherheit in Magento-Shops

Durch Shoplift verwundbare Magento-Shops: 50.581 (von 255.558)

Quelle: byte.nl, April 2016

Page 22: Was kann denn schon passieren? Sicherheit in Magento-Shops

Unzureichend geschützter Admin-Bereich

• http://magento.site/admin/

• http://magento.site/downloader/

• Benutzername “admin”

• Schwache Passwörter

Page 23: Was kann denn schon passieren? Sicherheit in Magento-Shops

Was kann ein Angreifer mit Admin-Zugriff ausrichten?

Page 24: Was kann denn schon passieren? Sicherheit in Magento-Shops

Angriff mit Admin-Zugriff (1)

1.Einloggen

2.Connect Manager aufrufen

3.Individuelle Extension hochladen

Page 25: Was kann denn schon passieren? Sicherheit in Magento-Shops

Angriff mit Admin-Zugriff (2)

1.Einloggen

2.JavaScript-Code in die System-Konfiguration eintragen

Page 26: Was kann denn schon passieren? Sicherheit in Magento-Shops

WANT BIG IMPACT?

Use big image.

Page 27: Was kann denn schon passieren? Sicherheit in Magento-Shops
Page 28: Was kann denn schon passieren? Sicherheit in Magento-Shops

Sicherheitslücken in Extensions

• Individuelle oder gekaufte Extensions

• SQL Injection, XSS, …

• Hintertüren

• Installationsservice

Page 29: Was kann denn schon passieren? Sicherheit in Magento-Shops

Wie kann ich Angriffe verhindern?

Page 30: Was kann denn schon passieren? Sicherheit in Magento-Shops

1. Grundregeln

• Magento und PHP aktualisieren

• Admin-Bereich schützen

• Sicherheits-Mailingliste von Magento abonnieren (magento.com/security/sign-up)

Page 31: Was kann denn schon passieren? Sicherheit in Magento-Shops

2. Seite prüfen

MageReport.com Sicherheitsrisiken mit wenig Aufwand prüfen www.magereport.com

Page 32: Was kann denn schon passieren? Sicherheit in Magento-Shops

“ Schwere Sicherheitsprobleme in mehr als 50% meiner Reviews

3. Reviews

Page 33: Was kann denn schon passieren? Sicherheit in Magento-Shops

Danke!

NOCH FRAGEN? [email protected]

@avstudnitz

@integer_net

Presentation Template by SlidesCarnival