Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Was kann denn schon passieren?
Sicherheit in Magento-Shops
05.07.2016 – Meet Magento DE
Andreas von Studnitz – integer_net...
Andreas von Studnitz
Geschäftsführer von integer_net
Diplom-Informatiker
Spezialist für Magento & Solr
Twitter: @avstudnitz
Praxisbeispiel
• Eine Codezeile hinzugefügt
• Liest alle Zugriffe auf admin- und
checkout –Bereiche aus
• Verschlüsselt un...
6 Monate
aktiv
1.612 Passwörter
5.628 Datensätze
E-Mail-Adresse, Name, Telefon
Alle Admin-Zugänge!
Übersicht
• Auswirkungen von Angriffen
• Angriffstypen
• Vorbeugung
Was kann denn schon
passieren?
Auswirkungen von Angriffen
154 Dollar
kostet ein gestohlener Datensatz im
Durchschnitt
350 Firmen
in 11 Ländern
3,79 Millionen Dollar
Durchschnittlic...
Gestohlene Nutzerdaten
Gestohlene Logindaten
Gestohlene Zahlungsdaten
WANT BIG IMPACT?
Use big image.
WANT BIG IMPACT?
Use big image.
50.000$ bei einem Datendiebstahl verloren
Server-Angriffe
WANT BIG IMPACT?
Use big image.
WANT BIG IMPACT?
Use big image.
Wie kann das mit
Magento passieren?Angriffstypen
Ungepatche Magento-Installation
• Neueste Version nicht installiert
• Wichtige Sicherheitspatches
nicht angewandt
• (Unsic...
Beispiel
Shoplift-Bug
(gepatcht Februar 2015)
“
Durch Shoplift verwundbare
Magento-Shops:
50.581
(von 255.558)
Quelle: byte.nl, April 2016
Unzureichend geschützter
Admin-Bereich
• http://magento.site/admin/
• http://magento.site/downloader/
• Benutzername “admi...
Was kann ein
Angreifer mit Admin-
Zugriff ausrichten?
Angriff mit Admin-Zugriff (1)
1.Einloggen
2.Connect Manager aufrufen
3.Individuelle Extension hochladen
Angriff mit Admin-Zugriff (2)
1.Einloggen
2.JavaScript-Code in die System-
Konfiguration eintragen
WANT BIG IMPACT?
Use big image.
Sicherheitslücken in Extensions
• Individuelle oder gekaufte Extensions
• SQL Injection, XSS, …
• Hintertüren
• Installati...
Wie kann ich
Angriffe verhindern?
1. Grundregeln
• Magento und PHP aktualisieren
• Admin-Bereich schützen
• Sicherheits-Mailingliste von Magento
abonnieren
...
2. Seite prüfen
MageReport.com
Sicherheitsrisiken mit
wenig Aufwand prüfen
www.magereport.com
“
Schwere Sicherheitsprobleme in
mehr als 50% meiner Reviews
3. Reviews
Danke!
NOCH FRAGEN?
avs@integer-net.de
@avstudnitz
@integer_net
Presentation Template by SlidesCarnival
Was kann denn schon passieren? Sicherheit in Magento-Shops
Was kann denn schon passieren? Sicherheit in Magento-Shops
Nächste SlideShare
Wird geladen in …5
×

Was kann denn schon passieren? Sicherheit in Magento-Shops

795 Aufrufe

Veröffentlicht am

estohlene Kundendaten, unerreichbare Shops, Erpressungen – die Liste der potentiellen Angriffe auf Magento-Shops ist lang. Andreas von Studnitz berichtet aus seiner achtjährigen Erfahrung mit Magento von erfolgreichen und versuchten Angriffen, von Sicherheitslücken und sonstigen Risiken. Erfahren Sie, was Sie als Shopbetreiber tun können und tun sollten, um Ihren Shop gegen Angriffe aller Art zu schützen.

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

Was kann denn schon passieren? Sicherheit in Magento-Shops

  1. 1. Was kann denn schon passieren? Sicherheit in Magento-Shops 05.07.2016 – Meet Magento DE Andreas von Studnitz – integer_net – @avstudnitz
  2. 2. Andreas von Studnitz Geschäftsführer von integer_net Diplom-Informatiker Spezialist für Magento & Solr Twitter: @avstudnitz
  3. 3. Praxisbeispiel • Eine Codezeile hinzugefügt • Liest alle Zugriffe auf admin- und checkout –Bereiche aus • Verschlüsselt und speichert Daten in media/cache_6e0a32[…]d53ee065da
  4. 4. 6 Monate aktiv 1.612 Passwörter 5.628 Datensätze E-Mail-Adresse, Name, Telefon
  5. 5. Alle Admin-Zugänge!
  6. 6. Übersicht • Auswirkungen von Angriffen • Angriffstypen • Vorbeugung
  7. 7. Was kann denn schon passieren? Auswirkungen von Angriffen
  8. 8. 154 Dollar kostet ein gestohlener Datensatz im Durchschnitt 350 Firmen in 11 Ländern 3,79 Millionen Dollar Durchschnittliche Gesamtkosten eines Datendiebstahls Quelle: 2015 Cost of Data Breach Study: Global Analysis www.ibm.com/security/data-breach/ Studie:
  9. 9. Gestohlene Nutzerdaten
  10. 10. Gestohlene Logindaten
  11. 11. Gestohlene Zahlungsdaten
  12. 12. WANT BIG IMPACT? Use big image.
  13. 13. WANT BIG IMPACT? Use big image. 50.000$ bei einem Datendiebstahl verloren
  14. 14. Server-Angriffe
  15. 15. WANT BIG IMPACT? Use big image.
  16. 16. WANT BIG IMPACT? Use big image.
  17. 17. Wie kann das mit Magento passieren?Angriffstypen
  18. 18. Ungepatche Magento-Installation • Neueste Version nicht installiert • Wichtige Sicherheitspatches nicht angewandt • (Unsichere PHP-Version)
  19. 19. Beispiel Shoplift-Bug (gepatcht Februar 2015)
  20. 20. “ Durch Shoplift verwundbare Magento-Shops: 50.581 (von 255.558) Quelle: byte.nl, April 2016
  21. 21. Unzureichend geschützter Admin-Bereich • http://magento.site/admin/ • http://magento.site/downloader/ • Benutzername “admin” • Schwache Passwörter
  22. 22. Was kann ein Angreifer mit Admin- Zugriff ausrichten?
  23. 23. Angriff mit Admin-Zugriff (1) 1.Einloggen 2.Connect Manager aufrufen 3.Individuelle Extension hochladen
  24. 24. Angriff mit Admin-Zugriff (2) 1.Einloggen 2.JavaScript-Code in die System- Konfiguration eintragen
  25. 25. WANT BIG IMPACT? Use big image.
  26. 26. Sicherheitslücken in Extensions • Individuelle oder gekaufte Extensions • SQL Injection, XSS, … • Hintertüren • Installationsservice
  27. 27. Wie kann ich Angriffe verhindern?
  28. 28. 1. Grundregeln • Magento und PHP aktualisieren • Admin-Bereich schützen • Sicherheits-Mailingliste von Magento abonnieren (magento.com/security/sign-up)
  29. 29. 2. Seite prüfen MageReport.com Sicherheitsrisiken mit wenig Aufwand prüfen www.magereport.com
  30. 30. “ Schwere Sicherheitsprobleme in mehr als 50% meiner Reviews 3. Reviews
  31. 31. Danke! NOCH FRAGEN? avs@integer-net.de @avstudnitz @integer_net Presentation Template by SlidesCarnival

×