Mais conteúdo relacionado Semelhante a Magento Application Security [DE] (20) Magento Application Security [DE]12. Die häufigsten Risiken von
Web-Anwendungen
• A1: Injection
• A2: Fehler in Authentifizierung und
Session Management
• A3: Cross-Site Scripting (XSS)
• A4: Unsichere direkte Objektreferenzen
• A5: Sicherheitsrelevante Fehlkonfiguration
OWASP Top 10, 2013
17. Secure Coding Principles
Least Privilege
Aktionen werden mit den geringsten
erforderlichen Rechten durchgeführt
(User-Rechte, Dateiberechtigungen,...)
21. Secure Coding Principles
Vertraue keinen Eingaben
Längster Ortsname (einzelnes Wort)
Taumatawhakatangihangakoauauotamateatu
ripukakapikimaungahoronukupokaiwhenuakit
anatahu (Neuseeland, 85 letters)
22. Secure Coding Principles
Vertraue keinen Eingaben
Längster Ortsname (mehrere Wörter)
Krung Thep Mahanakhon Amon
Rattanakosin Mahinthara Yuthaya Mahadilok
Phop Noppharat Ratchathani Burirom
Udomratchaniwet Mahasathan Amon Piman
Awatan Sathit Sakkathattiya Witsanukam
Prasit (Bangkok, 176 letters)
28. Secure Coding I
• Neugierig sein - alles hinterfragen
• Secure Coding Guidelines
– OWASP Secure Coding Practices
29. Secure Coding II
• Validatoren für Inputs
– Client
– Server
• Erwarteter Input: Whitelist vs. Blacklist Filter
• Aktion erlaubt?
– User: Zugriff auf Ressource?
– Admin: Mage::getSingleton('admin/session')-
>isAllowed('admin/sales/order/actions/create');
30. Security Testing I
• PHPSniffer
• Magento ECG Coding Standard
• Dependencies:
–Sensio Labs: check composer.lock
32. Kein Zugriff auf
• .git, .git/config
• composer.lock
• Standard /admin Pfad
• /downloader
• app/etc/local.xml
• Logfiles
• phpinfo.php
• Datenbank-Dumps: livedb.sql.gz