Diese Präsentation wurde erfolgreich gemeldet.

Was kann denn schon passieren? Sicherheit in Magento-Shops

3

Teilen

Wird geladen in …3
×
1 von 33
1 von 33

Was kann denn schon passieren? Sicherheit in Magento-Shops

3

Teilen

Herunterladen, um offline zu lesen

estohlene Kundendaten, unerreichbare Shops, Erpressungen – die Liste der potentiellen Angriffe auf Magento-Shops ist lang. Andreas von Studnitz berichtet aus seiner achtjährigen Erfahrung mit Magento von erfolgreichen und versuchten Angriffen, von Sicherheitslücken und sonstigen Risiken. Erfahren Sie, was Sie als Shopbetreiber tun können und tun sollten, um Ihren Shop gegen Angriffe aller Art zu schützen.

estohlene Kundendaten, unerreichbare Shops, Erpressungen – die Liste der potentiellen Angriffe auf Magento-Shops ist lang. Andreas von Studnitz berichtet aus seiner achtjährigen Erfahrung mit Magento von erfolgreichen und versuchten Angriffen, von Sicherheitslücken und sonstigen Risiken. Erfahren Sie, was Sie als Shopbetreiber tun können und tun sollten, um Ihren Shop gegen Angriffe aller Art zu schützen.

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 14-tägigen Testversion von Scribd

Alle anzeigen

Ähnliche Hörbücher

Kostenlos mit einer 14-tägigen Testversion von Scribd

Alle anzeigen

Was kann denn schon passieren? Sicherheit in Magento-Shops

  1. 1. Was kann denn schon passieren? Sicherheit in Magento-Shops 05.07.2016 – Meet Magento DE Andreas von Studnitz – integer_net – @avstudnitz
  2. 2. Andreas von Studnitz Geschäftsführer von integer_net Diplom-Informatiker Spezialist für Magento & Solr Twitter: @avstudnitz
  3. 3. Praxisbeispiel • Eine Codezeile hinzugefügt • Liest alle Zugriffe auf admin- und checkout –Bereiche aus • Verschlüsselt und speichert Daten in media/cache_6e0a32[…]d53ee065da
  4. 4. 6 Monate aktiv 1.612 Passwörter 5.628 Datensätze E-Mail-Adresse, Name, Telefon
  5. 5. Alle Admin-Zugänge!
  6. 6. Übersicht • Auswirkungen von Angriffen • Angriffstypen • Vorbeugung
  7. 7. Was kann denn schon passieren? Auswirkungen von Angriffen
  8. 8. 154 Dollar kostet ein gestohlener Datensatz im Durchschnitt 350 Firmen in 11 Ländern 3,79 Millionen Dollar Durchschnittliche Gesamtkosten eines Datendiebstahls Quelle: 2015 Cost of Data Breach Study: Global Analysis www.ibm.com/security/data-breach/ Studie:
  9. 9. Gestohlene Nutzerdaten
  10. 10. Gestohlene Logindaten
  11. 11. Gestohlene Zahlungsdaten
  12. 12. WANT BIG IMPACT? Use big image.
  13. 13. WANT BIG IMPACT? Use big image. 50.000$ bei einem Datendiebstahl verloren
  14. 14. Server-Angriffe
  15. 15. WANT BIG IMPACT? Use big image.
  16. 16. WANT BIG IMPACT? Use big image.
  17. 17. Wie kann das mit Magento passieren?Angriffstypen
  18. 18. Ungepatche Magento-Installation • Neueste Version nicht installiert • Wichtige Sicherheitspatches nicht angewandt • (Unsichere PHP-Version)
  19. 19. Beispiel Shoplift-Bug (gepatcht Februar 2015)
  20. 20. “ Durch Shoplift verwundbare Magento-Shops: 50.581 (von 255.558) Quelle: byte.nl, April 2016
  21. 21. Unzureichend geschützter Admin-Bereich • http://magento.site/admin/ • http://magento.site/downloader/ • Benutzername “admin” • Schwache Passwörter
  22. 22. Was kann ein Angreifer mit Admin- Zugriff ausrichten?
  23. 23. Angriff mit Admin-Zugriff (1) 1.Einloggen 2.Connect Manager aufrufen 3.Individuelle Extension hochladen
  24. 24. Angriff mit Admin-Zugriff (2) 1.Einloggen 2.JavaScript-Code in die System- Konfiguration eintragen
  25. 25. WANT BIG IMPACT? Use big image.
  26. 26. Sicherheitslücken in Extensions • Individuelle oder gekaufte Extensions • SQL Injection, XSS, … • Hintertüren • Installationsservice
  27. 27. Wie kann ich Angriffe verhindern?
  28. 28. 1. Grundregeln • Magento und PHP aktualisieren • Admin-Bereich schützen • Sicherheits-Mailingliste von Magento abonnieren (magento.com/security/sign-up)
  29. 29. 2. Seite prüfen MageReport.com Sicherheitsrisiken mit wenig Aufwand prüfen www.magereport.com
  30. 30. “ Schwere Sicherheitsprobleme in mehr als 50% meiner Reviews 3. Reviews
  31. 31. Danke! NOCH FRAGEN? avs@integer-net.de @avstudnitz @integer_net Presentation Template by SlidesCarnival

×