SlideShare ist ein Scribd-Unternehmen logo
Was kann denn schon passieren?
Sicherheit in Magento-Shops
05.07.2016 – Meet Magento DE
Andreas von Studnitz – integer_net – @avstudnitz
Andreas von Studnitz
Geschäftsführer von integer_net
Diplom-Informatiker
Spezialist für Magento & Solr
Twitter: @avstudnitz
Praxisbeispiel
• Eine Codezeile hinzugefügt
• Liest alle Zugriffe auf admin- und
checkout –Bereiche aus
• Verschlüsselt und speichert Daten in
media/cache_6e0a32[…]d53ee065da
Was kann denn schon passieren? Sicherheit in Magento-Shops
6 Monate
aktiv
1.612 Passwörter
5.628 Datensätze
E-Mail-Adresse, Name, Telefon
Alle Admin-Zugänge!
Übersicht
• Auswirkungen von Angriffen
• Angriffstypen
• Vorbeugung
Was kann denn schon
passieren?
Auswirkungen von Angriffen
154 Dollar
kostet ein gestohlener Datensatz im
Durchschnitt
350 Firmen
in 11 Ländern
3,79 Millionen Dollar
Durchschnittliche Gesamtkosten eines
Datendiebstahls
Quelle: 2015 Cost of Data Breach Study: Global Analysis
www.ibm.com/security/data-breach/
Studie:
Gestohlene Nutzerdaten
Gestohlene Logindaten
Gestohlene Zahlungsdaten
WANT BIG IMPACT?
Use big image.
WANT BIG IMPACT?
Use big image.
50.000$ bei einem Datendiebstahl verloren
Server-Angriffe
WANT BIG IMPACT?
Use big image.
WANT BIG IMPACT?
Use big image.
Wie kann das mit
Magento passieren?Angriffstypen
Ungepatche Magento-Installation
• Neueste Version nicht installiert
• Wichtige Sicherheitspatches
nicht angewandt
• (Unsichere PHP-Version)
Beispiel
Shoplift-Bug
(gepatcht Februar 2015)
“
Durch Shoplift verwundbare
Magento-Shops:
50.581
(von 255.558)
Quelle: byte.nl, April 2016
Unzureichend geschützter
Admin-Bereich
• http://magento.site/admin/
• http://magento.site/downloader/
• Benutzername “admin”
• Schwache Passwörter
Was kann ein
Angreifer mit Admin-
Zugriff ausrichten?
Angriff mit Admin-Zugriff (1)
1.Einloggen
2.Connect Manager aufrufen
3.Individuelle Extension hochladen
Angriff mit Admin-Zugriff (2)
1.Einloggen
2.JavaScript-Code in die System-
Konfiguration eintragen
WANT BIG IMPACT?
Use big image.
Was kann denn schon passieren? Sicherheit in Magento-Shops
Sicherheitslücken in Extensions
• Individuelle oder gekaufte Extensions
• SQL Injection, XSS, …
• Hintertüren
• Installationsservice
Wie kann ich
Angriffe verhindern?
1. Grundregeln
• Magento und PHP aktualisieren
• Admin-Bereich schützen
• Sicherheits-Mailingliste von Magento
abonnieren
(magento.com/security/sign-up)
2. Seite prüfen
MageReport.com
Sicherheitsrisiken mit
wenig Aufwand prüfen
www.magereport.com
“
Schwere Sicherheitsprobleme in
mehr als 50% meiner Reviews
3. Reviews
Danke!
NOCH FRAGEN?
avs@integer-net.de
@avstudnitz
@integer_net
Presentation Template by SlidesCarnival

Weitere ähnliche Inhalte

Ähnlich wie Was kann denn schon passieren? Sicherheit in Magento-Shops

Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
LEITWERK AG
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
DSGVO-Compliance schneller erreichen – mit Talend und Cloudera
DSGVO-Compliance schneller erreichen – mit Talend und ClouderaDSGVO-Compliance schneller erreichen – mit Talend und Cloudera
DSGVO-Compliance schneller erreichen – mit Talend und Cloudera
Cloudera, Inc.
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
Fraunhofer AISEC
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Frank Thilo Röhl
 
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Jan Rodig
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlDevelopercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehl
Frank Thilo Röhl
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside Cryptoparty
Johann-Peter Hartmann
 
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
Agenda Europe 2035
 
Fünf Jahre nach Snowden - Misstrauen im Netz auf Höchstniveau
Fünf Jahre nach Snowden - Misstrauen im Netz auf HöchstniveauFünf Jahre nach Snowden - Misstrauen im Netz auf Höchstniveau
Fünf Jahre nach Snowden - Misstrauen im Netz auf Höchstniveau
WEB.DE
 
DACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdfDACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdf
DNUG e.V.
 
IT Security Perspektive 2015
IT Security Perspektive 2015IT Security Perspektive 2015
IT Security Perspektive 2015
Maria Willamowius
 
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
nextwork GmbH
 
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
Symantec
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVA
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
Praxistage
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
Praxistage
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC - Christian Wild Management Consultants
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Fraunhofer AISEC
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
jiricejka
 

Ähnlich wie Was kann denn schon passieren? Sicherheit in Magento-Shops (20)

Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden könnenSocial Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
Social Engineering- Wie Soft Skills zur Sicherheitsfalle werden können
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
DSGVO-Compliance schneller erreichen – mit Talend und Cloudera
DSGVO-Compliance schneller erreichen – mit Talend und ClouderaDSGVO-Compliance schneller erreichen – mit Talend und Cloudera
DSGVO-Compliance schneller erreichen – mit Talend und Cloudera
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copyDevelopercamp 08032018 der-zweite_faktor_thilo_roehl - copy
Developercamp 08032018 der-zweite_faktor_thilo_roehl - copy
 
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
Herausforderungen & Erfolgsfaktoren bei der Konzeption und Implementierung vo...
 
Developercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehlDevelopercamp 08032018 der-zweite_faktor_thilo_roehl
Developercamp 08032018 der-zweite_faktor_thilo_roehl
 
Serverside Cryptoparty
Serverside CryptopartyServerside Cryptoparty
Serverside Cryptoparty
 
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
Univ.Prof. DI Dr. Thomas Grechenig (TU Wien)
 
Fünf Jahre nach Snowden - Misstrauen im Netz auf Höchstniveau
Fünf Jahre nach Snowden - Misstrauen im Netz auf HöchstniveauFünf Jahre nach Snowden - Misstrauen im Netz auf Höchstniveau
Fünf Jahre nach Snowden - Misstrauen im Netz auf Höchstniveau
 
DACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdfDACHNUG50 presentation 15 June 2023.pdf
DACHNUG50 presentation 15 June 2023.pdf
 
IT Security Perspektive 2015
IT Security Perspektive 2015IT Security Perspektive 2015
IT Security Perspektive 2015
 
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
Das Fazit. Zwei Jahre DSGVO & TISAX (Vortrag gwa)
 
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
5 Wichtige Erkenntnisse Zu Komplexen Bedrohungen
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 

Mehr von Andreas von Studnitz

Successful projects with Hyvä - The impact of Developer Happiness
Successful projects with Hyvä - The impact of Developer HappinessSuccessful projects with Hyvä - The impact of Developer Happiness
Successful projects with Hyvä - The impact of Developer Happiness
Andreas von Studnitz
 
Vorstellung Hyvä: Modernes Frontend mit Magento 2
Vorstellung Hyvä: Modernes Frontend mit Magento 2Vorstellung Hyvä: Modernes Frontend mit Magento 2
Vorstellung Hyvä: Modernes Frontend mit Magento 2
Andreas von Studnitz
 
Code Quality with Magento 2
Code Quality with Magento 2Code Quality with Magento 2
Code Quality with Magento 2
Andreas von Studnitz
 
Dependency Injection Extended: the way to advanced Magento 2 development
Dependency Injection Extended: the way to advanced Magento 2 developmentDependency Injection Extended: the way to advanced Magento 2 development
Dependency Injection Extended: the way to advanced Magento 2 development
Andreas von Studnitz
 
Magento Audit - anonymisiert (German)
Magento Audit - anonymisiert (German)Magento Audit - anonymisiert (German)
Magento Audit - anonymisiert (German)
Andreas von Studnitz
 
What could possibly go wrong? Security in Magento Shops
What could possibly go wrong? Security in Magento ShopsWhat could possibly go wrong? Security in Magento Shops
What could possibly go wrong? Security in Magento Shops
Andreas von Studnitz
 

Mehr von Andreas von Studnitz (6)

Successful projects with Hyvä - The impact of Developer Happiness
Successful projects with Hyvä - The impact of Developer HappinessSuccessful projects with Hyvä - The impact of Developer Happiness
Successful projects with Hyvä - The impact of Developer Happiness
 
Vorstellung Hyvä: Modernes Frontend mit Magento 2
Vorstellung Hyvä: Modernes Frontend mit Magento 2Vorstellung Hyvä: Modernes Frontend mit Magento 2
Vorstellung Hyvä: Modernes Frontend mit Magento 2
 
Code Quality with Magento 2
Code Quality with Magento 2Code Quality with Magento 2
Code Quality with Magento 2
 
Dependency Injection Extended: the way to advanced Magento 2 development
Dependency Injection Extended: the way to advanced Magento 2 developmentDependency Injection Extended: the way to advanced Magento 2 development
Dependency Injection Extended: the way to advanced Magento 2 development
 
Magento Audit - anonymisiert (German)
Magento Audit - anonymisiert (German)Magento Audit - anonymisiert (German)
Magento Audit - anonymisiert (German)
 
What could possibly go wrong? Security in Magento Shops
What could possibly go wrong? Security in Magento ShopsWhat could possibly go wrong? Security in Magento Shops
What could possibly go wrong? Security in Magento Shops
 

Was kann denn schon passieren? Sicherheit in Magento-Shops