SlideShare ist ein Scribd-Unternehmen logo
1 von 35
Downloaden Sie, um offline zu lesen
Magento Application Security
Anna Völkl / @rescueAnn
Security-Technologie
Department of Defense Computer Security Initiative
Magento Anwendungsicherheit
Logins & Passwörter
Admin Backend geschützt
SSL installiert
Magento Anwendungsicherheit
Logins & Passwörter
Admin Backend geschützt
SSL installiert
...und noch viel mehr!
Magento
Anwendungssicherheit
Software-Lebenszyklus
Webserver
Datenbank
Benutzer
Versionierung &
Deployment
Firewall
Dateirechte
Web-Application
Firewall
Anforderungen
Updates &
Patches
Login
Passwörter
Programmierung
Software-Design
Außerbetriebnahme
Konfigurations-
dateien
Extensions/3rd Party
http://blogs.technet.com/b/rhalbheer/archive/2011/01/14/real-physical-security.aspx
Unsichere Software
• Keine Zeit
• Kein Wissen
• Keine Prioritäten
– Performance
– SEO
– Neue Funktionen
Potentielle Angreifer
• (Organisierte) Kriminalität
• Defacer
• Script-Kiddies
• Verärgerte Mitarbeiter, Entwickler
• Konkurrenz
• Der Kunde/Shopbetreiber selbst
Interesse?!
• Zahlungsdaten
• Kundendaten
• Eigener Vorteil
• Mitbewerb schädigen
Die häufigsten Risiken von
Web-Anwendungen
• A1: Injection
• A2: Fehler in Authentifizierung und
Session Management
• A3: Cross-Site Scripting (XSS)
• A4: Unsichere direkte Objektreferenzen
• A5: Sicherheitsrelevante Fehlkonfiguration
OWASP Top 10, 2013
Secure Coding Principles
Secure Coding Principles
Angriffsfläche verkleinern
Jedes hinzugefügte Feature erhöht das
Sicherheitsrisiko
Secure Coding Principles
Sichere Grundkonfiguration
Sichere Konfiguration „Out of the box“
Reduktion (wenn erlaubt) durch User/Kunde
Secure Coding Principles
Least Privilege
Aktionen werden mit den geringsten
erforderlichen Rechten durchgeführt
(User-Rechte, Dateiberechtigungen,...)
Secure Coding Principles
Fail securely
Fail secure vs. Fail safe
Die Kunst des Fails
Secure Coding Principles
Vertraue keinen Services
3rd Party
Secure Coding Principles
Vertraue keinen Eingaben
Überprüfe das Erwartete
Erwarte das Unerwartete
Secure Coding Principles
Vertraue keinen Eingaben
Längster Ortsname (einzelnes Wort)
Taumatawhakatangihangakoauauotamateatu
ripukakapikimaungahoronukupokaiwhenuakit
anatahu (Neuseeland, 85 letters)
Secure Coding Principles
Vertraue keinen Eingaben
Längster Ortsname (mehrere Wörter)
Krung Thep Mahanakhon Amon
Rattanakosin Mahinthara Yuthaya Mahadilok
Phop Noppharat Ratchathani Burirom
Udomratchaniwet Mahasathan Amon Piman
Awatan Sathit Sakkathattiya Witsanukam
Prasit (Bangkok, 176 letters)
Secure Coding Principles
Security by Obscurity
Sicherheit durch Unwissenheit?
Secure Coding Principles
KISS
Keep Security simple
Einfachheit vs. Komplexität
Secure Coding Principles
Security-Fehler richtig beheben
Die Wurzel des Problems verstehen
Weitere Problemstellen identifzieren
Tests entwickeln
...und jetzt?
Anforderungen
Funktionale & nicht funktionale
Anforderungen
Secure Coding I
• Neugierig sein - alles hinterfragen
• Secure Coding Guidelines
– OWASP Secure Coding Practices
Secure Coding II
• Validatoren für Inputs
– Client
– Server
• Erwarteter Input: Whitelist vs. Blacklist Filter
• Aktion erlaubt?
– User: Zugriff auf Ressource?
– Admin: Mage::getSingleton('admin/session')-
>isAllowed('admin/sales/order/actions/create');
Security Testing I
• PHPSniffer
• Magento ECG Coding Standard
• Dependencies:
–Sensio Labs: check composer.lock
Kein Zugriff auf
• .git, .git/config
• composer.lock
• Standard /admin Pfad
• /downloader
• app/etc/local.xml
• Logfiles
• phpinfo.php
• Datenbank-Dumps: livedb.sql.gz
Laufender Betrieb
• Magento
– Updates
– Security Patches
• Webserver, PHP,...
– Aktuelle Versionen
Hinterlasst euren Code jedesmal ein
bisschen sicherer (besser), als ihr ihn
vorgefunden habt.

Weitere ähnliche Inhalte

Andere mochten auch

Te Adoroooo
Te AdorooooTe Adoroooo
Te Adoroooopacosz
 
Evaluation Einfluss Unternehmenskommunikation Webinar
Evaluation Einfluss Unternehmenskommunikation WebinarEvaluation Einfluss Unternehmenskommunikation Webinar
Evaluation Einfluss Unternehmenskommunikation WebinarMichael Leander
 
Transportverlagerung – Wettbewerbsvorteil aus unternehmerischer Sicht
Transportverlagerung – Wettbewerbsvorteil aus unternehmerischer SichtTransportverlagerung – Wettbewerbsvorteil aus unternehmerischer Sicht
Transportverlagerung – Wettbewerbsvorteil aus unternehmerischer Sichtsaaleverein
 
Artículo científico metodología piramidal universitaria
Artículo científico metodología piramidal universitariaArtículo científico metodología piramidal universitaria
Artículo científico metodología piramidal universitariaJenner Baquero
 
Selbstaendig vs. Angestellt
Selbstaendig vs. AngestelltSelbstaendig vs. Angestellt
Selbstaendig vs. AngestelltMartin Cserba
 
Mapasconceptuales
MapasconceptualesMapasconceptuales
Mapasconceptualesiesrpe
 
MINIBARES_EN_1609
MINIBARES_EN_1609MINIBARES_EN_1609
MINIBARES_EN_1609Chema Porta
 
Luchas Por Los Derechos Del Pueblo
Luchas Por Los Derechos Del PuebloLuchas Por Los Derechos Del Pueblo
Luchas Por Los Derechos Del Puebloguest594d70
 
Dossier Delicias de la civilización
Dossier Delicias de la civilizaciónDossier Delicias de la civilización
Dossier Delicias de la civilizaciónluqueetxebarria
 
DB Infrastructure Challenge - Team FZI
DB Infrastructure Challenge - Team FZIDB Infrastructure Challenge - Team FZI
DB Infrastructure Challenge - Team FZIorless
 
Triff Markus Was Ist Enterprise20
Triff Markus Was Ist Enterprise20Triff Markus Was Ist Enterprise20
Triff Markus Was Ist Enterprise20Haymo Meran
 
Pascua del pf.
Pascua del pf.Pascua del pf.
Pascua del pf.misiotere
 
ProteccióN Jurídica Del Software
ProteccióN Jurídica Del SoftwareProteccióN Jurídica Del Software
ProteccióN Jurídica Del Softwareburrit0
 

Andere mochten auch (20)

Der Computer im Kinderzimmer
Der Computer im KinderzimmerDer Computer im Kinderzimmer
Der Computer im Kinderzimmer
 
Te Adoroooo
Te AdorooooTe Adoroooo
Te Adoroooo
 
Evaluation Einfluss Unternehmenskommunikation Webinar
Evaluation Einfluss Unternehmenskommunikation WebinarEvaluation Einfluss Unternehmenskommunikation Webinar
Evaluation Einfluss Unternehmenskommunikation Webinar
 
Transportverlagerung – Wettbewerbsvorteil aus unternehmerischer Sicht
Transportverlagerung – Wettbewerbsvorteil aus unternehmerischer SichtTransportverlagerung – Wettbewerbsvorteil aus unternehmerischer Sicht
Transportverlagerung – Wettbewerbsvorteil aus unternehmerischer Sicht
 
Artículo científico metodología piramidal universitaria
Artículo científico metodología piramidal universitariaArtículo científico metodología piramidal universitaria
Artículo científico metodología piramidal universitaria
 
Mod economiaperuana1
Mod economiaperuana1Mod economiaperuana1
Mod economiaperuana1
 
Selbstaendig vs. Angestellt
Selbstaendig vs. AngestelltSelbstaendig vs. Angestellt
Selbstaendig vs. Angestellt
 
Pla n direccion
Pla n direccionPla n direccion
Pla n direccion
 
Mapasconceptuales
MapasconceptualesMapasconceptuales
Mapasconceptuales
 
Wedding
WeddingWedding
Wedding
 
MINIBARES_EN_1609
MINIBARES_EN_1609MINIBARES_EN_1609
MINIBARES_EN_1609
 
Luchas Por Los Derechos Del Pueblo
Luchas Por Los Derechos Del PuebloLuchas Por Los Derechos Del Pueblo
Luchas Por Los Derechos Del Pueblo
 
Dossier Delicias de la civilización
Dossier Delicias de la civilizaciónDossier Delicias de la civilización
Dossier Delicias de la civilización
 
ESTEBAN ECHEVERRIA
ESTEBAN ECHEVERRIAESTEBAN ECHEVERRIA
ESTEBAN ECHEVERRIA
 
DB Infrastructure Challenge - Team FZI
DB Infrastructure Challenge - Team FZIDB Infrastructure Challenge - Team FZI
DB Infrastructure Challenge - Team FZI
 
Triff Markus Was Ist Enterprise20
Triff Markus Was Ist Enterprise20Triff Markus Was Ist Enterprise20
Triff Markus Was Ist Enterprise20
 
Pascua del pf.
Pascua del pf.Pascua del pf.
Pascua del pf.
 
Album De Familia
Album De FamiliaAlbum De Familia
Album De Familia
 
ProteccióN Jurídica Del Software
ProteccióN Jurídica Del SoftwareProteccióN Jurídica Del Software
ProteccióN Jurídica Del Software
 
Gost 4032 63
Gost 4032 63Gost 4032 63
Gost 4032 63
 

Ähnlich wie Magento Application Security [DE]

IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturQAware GmbH
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecMario-Leander Reimer
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Sicherheitsprüfung für HP NonStop Systeme
Sicherheitsprüfung für HP NonStop SystemeSicherheitsprüfung für HP NonStop Systeme
Sicherheitsprüfung für HP NonStop SystemePeter Haase
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITFraunhofer AISEC
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!Carsten Cordes
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozessx-celerate
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingPhilippe A. R. Schaeffer
 
SAP Infotag: Security / Erlebe-Software 07-2014
SAP Infotag: Security / Erlebe-Software 07-2014SAP Infotag: Security / Erlebe-Software 07-2014
SAP Infotag: Security / Erlebe-Software 07-2014Erlebe Software
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenPhilipp Burgmer
 
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebAppsHTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebAppsUlrich Schmidt
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile securityPeter Teufl
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsStephan Kaps
 

Ähnlich wie Magento Application Security [DE] (20)

IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Das kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren ArchitekturDas kleine Einmaleins der sicheren Architektur
Das kleine Einmaleins der sicheren Architektur
 
Das kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSecDas kleine Einmaleins der sicheren Architektur @heise_devSec
Das kleine Einmaleins der sicheren Architektur @heise_devSec
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Sicherheitsprüfung für HP NonStop Systeme
Sicherheitsprüfung für HP NonStop SystemeSicherheitsprüfung für HP NonStop Systeme
Sicherheitsprüfung für HP NonStop Systeme
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!IT-Sicherheit und agile Entwicklung – geht das? Sicher!
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
 
Automatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-ProzessAutomatisierung von Security Test im Build-Prozess
Automatisierung von Security Test im Build-Prozess
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
 
SAP Infotag: Security / Erlebe-Software 07-2014
SAP Infotag: Security / Erlebe-Software 07-2014SAP Infotag: Security / Erlebe-Software 07-2014
SAP Infotag: Security / Erlebe-Software 07-2014
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-Anwendungen
 
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebAppsHTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
 

Mehr von Anna Völkl

Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce...
Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce...Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce...
Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce...Anna Völkl
 
Magento Security Best Practises - MM17PL
Magento Security Best Practises - MM17PLMagento Security Best Practises - MM17PL
Magento Security Best Practises - MM17PLAnna Völkl
 
Magento Security Best Practises - MM17DE
Magento Security Best Practises - MM17DEMagento Security Best Practises - MM17DE
Magento Security Best Practises - MM17DEAnna Völkl
 
Secure development environment @ Meet Magento Croatia 2017
Secure development environment @ Meet Magento Croatia 2017Secure development environment @ Meet Magento Croatia 2017
Secure development environment @ Meet Magento Croatia 2017Anna Völkl
 
Secure input and output handling - Mage Titans Manchester 2016
Secure input and output handling - Mage Titans Manchester 2016Secure input and output handling - Mage Titans Manchester 2016
Secure input and output handling - Mage Titans Manchester 2016Anna Völkl
 
Secure input and output handling - Meet Magento Romania 2016
Secure input and output handling - Meet Magento Romania 2016Secure input and output handling - Meet Magento Romania 2016
Secure input and output handling - Meet Magento Romania 2016Anna Völkl
 
Secure input and output handling - ViennaPHP
Secure input and output handling - ViennaPHPSecure input and output handling - ViennaPHP
Secure input and output handling - ViennaPHPAnna Völkl
 
Secure input and output handling - Magento Meetup Vienna Edition
Secure input and output handling - Magento Meetup Vienna EditionSecure input and output handling - Magento Meetup Vienna Edition
Secure input and output handling - Magento Meetup Vienna EditionAnna Völkl
 
Magento Application Security [EN]
Magento Application Security [EN]Magento Application Security [EN]
Magento Application Security [EN]Anna Völkl
 

Mehr von Anna Völkl (9)

Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce...
Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce...Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce...
Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce...
 
Magento Security Best Practises - MM17PL
Magento Security Best Practises - MM17PLMagento Security Best Practises - MM17PL
Magento Security Best Practises - MM17PL
 
Magento Security Best Practises - MM17DE
Magento Security Best Practises - MM17DEMagento Security Best Practises - MM17DE
Magento Security Best Practises - MM17DE
 
Secure development environment @ Meet Magento Croatia 2017
Secure development environment @ Meet Magento Croatia 2017Secure development environment @ Meet Magento Croatia 2017
Secure development environment @ Meet Magento Croatia 2017
 
Secure input and output handling - Mage Titans Manchester 2016
Secure input and output handling - Mage Titans Manchester 2016Secure input and output handling - Mage Titans Manchester 2016
Secure input and output handling - Mage Titans Manchester 2016
 
Secure input and output handling - Meet Magento Romania 2016
Secure input and output handling - Meet Magento Romania 2016Secure input and output handling - Meet Magento Romania 2016
Secure input and output handling - Meet Magento Romania 2016
 
Secure input and output handling - ViennaPHP
Secure input and output handling - ViennaPHPSecure input and output handling - ViennaPHP
Secure input and output handling - ViennaPHP
 
Secure input and output handling - Magento Meetup Vienna Edition
Secure input and output handling - Magento Meetup Vienna EditionSecure input and output handling - Magento Meetup Vienna Edition
Secure input and output handling - Magento Meetup Vienna Edition
 
Magento Application Security [EN]
Magento Application Security [EN]Magento Application Security [EN]
Magento Application Security [EN]
 

Magento Application Security [DE]