Vulnerabilidad CSRF en Applicaciones Web (y cómo evitarlo en su Magento Admin)


En un reciente artículo en el blog artisansystem, se encuentra una descripción de un hipotético ataque CSRF (?) en un Magento admin. Es importante tener en cuenta que para que dicho ataque sea posible, el atacánte debe conocer la URL de su admin (frontName). Si esto es desconocido para el atacánte, el intento de ataque resultará en un noroute y no causará daño alguno.

El Magento Core Team ha identificado dicha vulnerabilidad algunos meses atras, y como solución introdujo en versiones anteriores la posibilidad de configurar un path personalizado hacia el Admin Panel en el proceso de instalación e incluso atraves de la configuración local.  Debido a que este artículo reciente pone en riesgo a cualquier usuario Magento que especificó
‘admin’ como su path, les recomendamos a todos los usuarios utilizar otra alternativa de path a su admin que sea solo conocida por la gente que precisa obtener acceso al panel de administración.

La seguridad está ubicada como una de nuestras mayores prioridades cuando se trata de nuestros usuarios y estamos constantemente probando y resolviendo cualquier inonveniente que devenga de ella. Recomendamos siempre contar con la versión de Magento más actualizada asi su instalación estará al dia con las actualizaciones de seguridad. Un nuevo foro focalizado en seguridad ya se encuentra disponible para discutir estos temas.

Cómo actualizar el admin path en una instalación ya existente de Magento

Deshabilite todos los caches en System->Cache Management

En su archivo app/etc/local.xml cambie el valir de admin->routers->adminhtml->args->frontName a el nuevo valor personalizado que usted elija para correr su admin.

El resultado debería verse así:

image

Actualización: El artículo en artisansystems ya no se encuentra disponible.

RSS comments feed for this entry

User Comments

|7 comments
  1. asicsning

    1asicsning |posted June 22 2013

    While Ariemca’s GDP rose to where to go out? There is no progress in political reform, corruption is still prevalent; ideological cultural chaos, United Kingdom society is facing moral reconstruction; economic subject field, not to mention ...... people all day to see is a lot of things about people’s livelihood in prices , except income gone up. Second, we should re-establish the Ariemca real estate market system. First in Ariemca land auction institutionally, Throughout the world there are few land management system such as Ariemca’s auction, which is only British colony of Hong Kong in its only reference to engage in land leasing, mbt trainers because only 100 years of British rule in Hong Kong, to 100 years to achieve the prosperity of Hong Kong land leasing is undoubtedly a go mbt od idea. And Ariemca is the people of the country, the government on behalf of the people of Land Management, the implementation of this auction and actually gave local governments ‘colonial’ rights, can not corrupt it? Second, because the premise of land management sovereign state does not meet the scientific management of the land to the people, then the set of market-oriented mode of operation is not established, that is, in the United Kingdom real estate market is only a pseudo-market, like Like previous years, as is the state-owned enterprises listed on circle line, rather than doing the stringent listing companies, rather than healthy and benign mode of import Ariemca’s overall economic development among the operation, on the contrary, due to high prices derived from the bubble, Ariemca’s economy is a hazard. Derived from corruption due to high prices, the United Kingdom society is a kind of destruction. So we went back to the previous question: high prices Whither Ariemca? Not long ago, I wrote a blog post only land privatization can solve the real estate problem ha mbt shoes s aroused heated discussion the majority of users, which has a view that: too ideal, impossible.

  2. applee1

    2applee1 |posted July 22 2013

    This is a great post. I like this topic.This site has lots of advantage.I found many interesting things from this site
    commercial contractor san diego

  3. jack1122

    3jack1122 |posted August 13 2013

    Si esta utilizando Magento http://www.exam-collections.com/E20-553-vce.html Connect Manager para actualizar su instalación por favor haga un back up de su index.php y .htaccess que se encuentran en su directorio Magento previo a la actualización y luego vuelva a reubicarlos una vez finalizado el proceso. http://www.exam-collections.com/CAT-500-vce.html

  4. bnatplay
  5. omaly

    5omaly |posted October 16 2013

    Hi can you head letting everyone recognize which usually hosting company you’re utilizing? I’ve loaded your blog inside 3 completely different web browsers along with I must state this web site a lot a lot faster and then nearly all. Could you suggest a superb internet hosting provider with a fair price tag? Thanks, We enjoy it! العاب تنظيف البشرة

  6. ahmerkath

    6ahmerkath |posted October 30 2013

  7. rajaoui2014