-
記事カテゴリ
- バージョンアップ (41)
- 利用可能サーバ情報 (4)
- Magento関連サービス紹介 (3)
- おしらせ (40)
- Tips (21)
ログイン
QRコード
管理画面にCSRFの脆弱性(とその対策方法)
- 2009年2月27日(金) 18:51 JST
-
- 投稿者:
- hirokazu_nishi
-
本家のブログで公開されていますが、Magentoのすべてのバージョンで管理画面におけるCSRFの脆弱性があります。
具体的には、Magentoの管理画面は以下のようなURLにデフォルトでは設定されます。
これが推測されやすいわけですね。
というわけで、公式ではとりあえずの対策方法としては以下のように書かれています。
app/etc/local.xmlを以下のように変更します。
<admin>
<routers>
<adminhtml>
<args>
<fromtName><![CDATA[your custom admin path]]></frontName>
</args>
</adminhtml>
</routers>
</admin>
保存した後はMagentoのキャッシュファイルをクリアするか、削除します。
本家コミュニティにもセキュリティのフォーラムが設けられたようなので、近いうちにMagento全体に対して対策が施されると思います。
具体的には、Magentoの管理画面は以下のようなURLにデフォルトでは設定されます。
http(s)://example.com/admin/
これが推測されやすいわけですね。
というわけで、公式ではとりあえずの対策方法としては以下のように書かれています。
app/etc/local.xmlを以下のように変更します。
<admin>
<routers>
<adminhtml>
<args>
<fromtName><![CDATA[your custom admin path]]></frontName>
</args>
</adminhtml>
</routers>
</admin>
保存した後はMagentoのキャッシュファイルをクリアするか、削除します。
本家コミュニティにもセキュリティのフォーラムが設けられたようなので、近いうちにMagento全体に対して対策が施されると思います。
トラックバック
- このエントリのトラックバックURL:
- http://www.magento-jp.com/trackback.php/20090227185112493
この記事にはトラックバック・コメントがありません。
サイト管理者はコメントに関する責任を負いません。