Magento hosting security lek

nov
21
2008

Senior Security specialist Ray Bogman van Jira ICT heeft een lek ontdekt in slecht beveiligde Magento websites. Het desbetreffende security lek kwam aan het licht na een bepaalde zoek query in Google. Via de desbetreffende weblinks aangeboden door Google konden wij vrij eenvoudig achter de gegevens komen in het app/etc/local.xml bestand van de desbetreffende Magento website. Dit bestand bevat alle database gegevens inclusief gebruikersnaam en wachtwoord.

Het Magento security lek wordt niet door Magento veroorzaakt maar door een slecht geconfigureerde hosting omgeving. Magento maakt gebruik van een apache file server beveiliging bekend als “.htaccess”. Als dit bestand niet aanwezig is of niet gelezen kan worden door de apache webserver (of lees: slecht geconfigureerde webserver) worden alle bestanden in onderstaande mappen geïndexeerd door Google. Via deze weg is het dan zeer eenvoudig om achter de database gegevens te komen van de desbetreffende Magento website. Afhankelijk van de de Magento configuratie is het dan mogelijk om “sessie hijacking” te doen en zo een bestelling te doen tegen een aangepast tarief.

Bovenstaande is een goede illustratie van het feit dat het belangrijk is je Magento website onder te brengen bij een gespecialiseerd Magento hosting bedrijf, of je eigen server te laten inrichten door iemand met kennis van zaken.

Guido X Jansen

Guido X Jansen

Oprichter Dutchento
Guido is oprichter van Dutchento en Meet Magento. Hij is verkozen tot Magento Master in 2019 en zit in de Board of Directors van de Magento Association. Meer over guido: gui.do
Guido X Jansen
Guido X Jansen
Delen van deze site zijn (met toestemming) overgenomen van Magento Inc. en vertaald (meer info).
Home Privacyverklaring Gebruiksvoorwaarden Mage.Town
Schrijf je gratis in als lid van de Magento AssociationInschrijven
+ +