サイトカレンダをスキップ

«
2017年 10月
»
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

-

ログイン

ログイン

QRコード

QR code

管理画面にCSRFの脆弱性(とその対策方法)

本家のブログで公開されていますが、Magentoのすべてのバージョンで管理画面におけるCSRFの脆弱性があります。

具体的には、Magentoの管理画面は以下のようなURLにデフォルトでは設定されます。

http(s)://example.com/admin/

これが推測されやすいわけですね。
というわけで、公式ではとりあえずの対策方法としては以下のように書かれています。

app/etc/local.xmlを以下のように変更します。

<admin>
  <routers>
    <adminhtml>
        <args>
            <fromtName><![CDATA[your custom admin path]]></frontName>
        </args>
    </adminhtml>
  </routers>
</admin>

保存した後はMagentoのキャッシュファイルをクリアするか、削除します。
 

  本家コミュニティにもセキュリティのフォーラムが設けられたようなので、近いうちにMagento全体に対して対策が施されると思います。

トラックバック

このエントリのトラックバックURL:
http://www.magento-jp.com/trackback.php/20090227185112493
表示形式
コメント投稿

サイト管理者はコメントに関する責任を負いません。