Admin-Pfad ändern Cross-Site Request Forgery (CSRF) - rack::SPEED Support-Forum

***rack::SPEED*** · 03.03.2009

Viele haben sicherlich das PopUp nach dem Login ins Backend bereits bemerkt und versucht den Admin-Pfad umzustellen. Leider kommt es dabei immer wieder zu Problemen, da ein wichtiger Punkt im Magento-Blogbeitrag zum Thema schnell überlesen wird. - Ausführliche Infos zum Angriff gibt es bei Wikipedia (Cross-Site Request Forgery â€“ Wikipedia), daher werden wir an dieser Stelle nur auf die Sicherung des Shops eingehen.

1.) Es müssen ALLE Caches unter

Code:

SYSTEM => CACHE VERWALTUNG

deaktiviert werden. Werden die Caches nicht deaktiviert ist ein Login ins Backend nur noch schwer möglich!!!

2.) Als nächstes wird die Datei

Code:

app/etc/local.xml

mit dem FTPClient zur Bearbeitung geöffnet. Nun folgen wir dem XML-Pfad

Code:

admin->routers->adminhtml->args->frontName

und ändern den Eintrag "admin" in eine beliebige Zeichenkette, z.B. "shop_admin" oder "d2686e18b". (Bitte verwenden Sie nicht eines dieser Beispiele!)

3.) Nun rufen wir das Backend über die neue URL auf, in unserem Fall wäre dies "http://ihre-domain.de/shop_admin/" oder "http://ihre-domain.de/d2686e18b/".

4.) Wenn der Login erfolgreich war und das Backend wie gewohnt reagiert vergessen Sie bitte nicht die Caches wieder zu aktivieren!

Normalerweise sollten unsere Kunden durch die Application Firewall vor dieser Art Angriff geschützt werden. Da es allerdings nie einen 100%igen Schutz geben kann sollte diese Änderung bei der nächsten Gelegenheit eingespielt werden.

03.03.2009	#1 (permalink)
*rack::SPEED* rack::SPEED Support Registriert seit: 19.10.2008 Ort: Meerbusch Beiträge: 920 Renommee-Modifikator: 10	Admin-Pfad ändern Cross-Site Request Forgery (CSRF) Viele haben sicherlich das PopUp nach dem Login ins Backend bereits bemerkt und versucht den Admin-Pfad umzustellen. Leider kommt es dabei immer wieder zu Problemen, da ein wichtiger Punkt im Magento-Blogbeitrag zum Thema schnell überlesen wird. - Ausführliche Infos zum Angriff gibt es bei Wikipedia (Cross-Site Request Forgery â€“ Wikipedia), daher werden wir an dieser Stelle nur auf die Sicherung des Shops eingehen. 1.) Es müssen ALLE Caches unter Code: SYSTEM => CACHE VERWALTUNG deaktiviert werden. Werden die Caches nicht deaktiviert ist ein Login ins Backend nur noch schwer möglich!!! 2.) Als nächstes wird die Datei Code: app/etc/local.xml mit dem FTPClient zur Bearbeitung geöffnet. Nun folgen wir dem XML-Pfad Code: admin->routers->adminhtml->args->frontName und ändern den Eintrag "admin" in eine beliebige Zeichenkette, z.B. "shop_admin" oder "d2686e18b". (Bitte verwenden Sie nicht eines dieser Beispiele!) 3.) Nun rufen wir das Backend über die neue URL auf, in unserem Fall wäre dies "http://ihre-domain.de/shop_admin/" oder "http://ihre-domain.de/d2686e18b/". 4.) Wenn der Login erfolgreich war und das Backend wie gewohnt reagiert vergessen Sie bitte nicht die Caches wieder zu aktivieren! Normalerweise sollten unsere Kunden durch die Application Firewall vor dieser Art Angriff geschützt werden. Da es allerdings nie einen 100%igen Schutz geben kann sollte diese Änderung bei der nächsten Gelegenheit eingespielt werden. Share Share this post on Digg Del.icio.us Technorati Twitter __________________ Magento Hosting \| LiteSpeed Enterprise-Hosting \| Level3-CDN \| Demo Shop

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln