CSRF Vulnerability in Magento

Keyboardcowboys

Freitag, 27. Februar 2009

CSRF Vulnerability in Magento

In den früheren Magento Installationen war der Pfad zum Adminbereich fest. Jedoch birgt dies gefahren. Daher hat man sich bei Varien entschieden einem die Wahl bei der Installation zu lassen. Statt http://www.mein-magento.de/admin sollte man also z.B. http://www.mein-magento.de/das_ist_geheim ;-) benutzen. Nur wie ändere ich das bei einer bestehenden Installation? Einfach in die app/etc/local.xml datei gehen und folgendes eintragen:
<admin>

<routers>

<adminhtml>

<args>

<frontName><![CDATA[das_ist_geheim_pfad]]</frontName>  

</args>

</adminhtml>

</routers>

</admin>

Geschrieben von
daim
in Arbeit, Magento um 08:33 | 1 Kommentar | 1 Trackback
Tags für diesen Artikel: , ,
Artikel mit ähnlichen Themen:
Facebook
Trackbacks
Trackback-URL für diesen Eintrag
M
Es gibt eine m
Weblog: hype.yeebase.com
Aufgenommen: Feb 27, 08:37
Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)
Das CSRF-Szenario ist ja schon relativ weit hergeholt, aber trotzdem möglich.

Um die angebotene Lösung von Varien handelt es sich aber nur um "Security by Obscurity". Ich hoffe, Varien wird hier noch nachrüsten und mehr anbieten als nur die Verschleierung des Admin-Pfades.

Oder habe ich hier etwas übersehen?
#1 Ralf (Homepage) am 27.02.2009 12:40 (Antwort)
Kommentar schreiben
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
 
 
Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!
 
 

Menü

Startseite
Impressum

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Kommentare

Carmen zu Magento Admin Input Feld Länge prüfen
Fr, 05.08.2011 19:37
Wenn Du in der Überschrift sta tt der Leerzeichen einfach Pun kte verwendet hättest, hätte m an sie tatsächlich besse [...]
Roman zu Magento Admin Input Feld Länge prüfen
Fr, 05.08.2011 14:05
Diesen langen, schwurbeligen A nleitungen die das ganze Web v erstopfen ^^
HP zu VMware Fusion /dev/vmnet0 wird nicht ausgeführt
Mi, 03.08.2011 09:16
Vielen Dank. Das hat geholfen.
Daim zu Magento EE 1.8
So, 25.04.2010 21:23
Ah ok, darauf wurde mir noch n icht geantwortet. Danke für d ie Information
Phoenix Medien zu Magento EE 1.8
So, 25.04.2010 21:21
Auf Nachfrage wurde uns mitget eilt, dass lediglich leere Abs tract-Klassen verschlüsselt si nd. Diese enthalten kein [...]

Getaggte Artikel

Suche