Magento Blog



CSFR Verwundbarkeit von Webanwendungen (und wie man dies in Magento verhindern kann)

In einer kürzlich veröffentlichten Nachricht im artisansystem Blog wurde eine mögliche CSFR (?) Verwundbarkeit des Magento Adminpanels beschrieben. Es ist wichtig, dass der Angreifer für einen erfolgreichen Angriff den vollständigen Admin-Pfad kennen muss (frontName). Ist dem Angrefier dieser Pfad unbekannt, resultiert der Angriff in einer noroute Seite und hat keinerlei Folgen.

Das Magento-Kernentwicklungsteam hat diese Verwundbarkeit vor einigen Monaten bereits bemerkt und als Lösung den frei zu wählenden Admin-Pfad integriert. Seit diesem Blogpost sind in erster Linie Magento-Benutzer mit dem Standard-Adminpfad "admin" in Gefahr. Wir möchten ausdrücklich darauf hinweisen, diesen Pfad dahingehend zu ändern, dass er nicht einfach erraten werden kann und nur befugte Personen den Zugangspfad kennen.

Sicherheit ist eine der höchsten Prioritäten und wir sind ständig mit aktuellen Tests dabei, auftretende Sicherheitsrisiken auszuräumen. Wir möchten daher auch nochmal darauf hinweisen, stets die aktuellste, als stabil verfügbare Version von Magento einzusetzen. Ein neues Forum zu Sicherheitsfragen (englisch) ist ab sofort verfügbar.

Ändern des Adminpfades in einer bestehenden Installation

Bitte über System->Cache Verwaltung alle Caches deaktivieren!

In der Datei app/etc/local.xml ändern Sie bitte den Wert unter admin->routers->adminhtml->args->frontName in den neuen Pfadnamen (Buchstaben ohne Sonderzeichen, Ziffern, Binde- und Unterstrich)

Am Ende sollte die Zeile folgendermaßen aussehen:

image