Làm thế nào mà họ tìm thấy URL quản trị viên tùy chỉnh của tôi?

22

Tôi có một url quản trị viên tùy chỉnh, tôi vẫn thấy ai đó đang cố đăng nhập vào quản trị viên.

Tôi thậm chí đã thay đổi nó, và ngay sau khi đăng nhập tiếp theo đã được thử.

Làm thế nào điều này có thể xảy ra, tôi nghĩ rằng nó an toàn?

admin  security 
Flyingmana
nguồn
Đây là bảo mật thông qua che khuất không phải là một thực hành tốt. Sẽ không có vấn đề gì nếu mọi người cố gắng đăng nhập vào URL quản trị của bạn miễn là họ không thành công.
Jon
Cho dù URL quản trị viên tùy chỉnh thông minh đến mức nào, có lẽ nó đã được sử dụng trước đây. Một thư viện URL loại quản trị viên có sẵn để quét một trang web. Hãy thử một chiến thuật khác. Bạn không cần phải ngồi trong quán Starbucks địa phương làm việc trên phần cuối trang web của bạn. Sử dụng .htaccess để giới hạn theo địa chỉ IP quyền truy cập vào / admin và / downloader.
Phòng thí nghiệm Fiasco
Willem
2
Điều thú vị nhất là nhiều người dùng đặt đường dẫn tùy chỉnh này vào tệp robots.txt của họ, vì Không cho phép ... và tất cả các liên kết / tệp khác tôi luôn nhận được từ tệp robots.txt, tại sao họ làm điều này ngoài sức tưởng tượng của tôi ...
Cách khác. Ouch, điểm là gì? => magento.stackexchange.com/questions/68003/ từ
Phòng thí nghiệm Fiasco

Câu trả lời:

16

Có một số cách mà url quản trị của bạn có thể được hiển thị. Một số bao gồm

  • Các mô-đun tạo không chính xác bộ điều khiển quản trị. Truy cập một tên người quản trị đã biết, không chính xác, sẽ chuyển hướng đến màn hình đăng nhập. Ví dụ, đánh example.com/mymodule_admin/foo/bar. Bộ điều khiển quản trị "an toàn" sẽ mở rộng trên đầu tên của bạn customadmin, như thế nào example.com/customadmin/mymodule/foo_bar.
    • Có một cách khắc phục vấn đề này với SUPEE-6788, nhưng đó là cài đặt bạn phải thay đổi bằng tay.
  • URL được hiển thị trong phản hồi XML của example.com/index.php/rss/order/NEW/new.
    • Đã sửa lỗi với SUPEE-6285
  • Một số máy chủ web tạo nhật ký truy cập trong khu vực công cộng, như example.com/access_logs. Kẻ tấn công có thể xem qua các nhật ký này và phát hiện ra các URL đầy hứa hẹn.
  • Truy cập bộ điều khiển quản trị được bảo mật không đúng cách (ví dụ example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • Đã sửa lỗi với SUPEE-5994
  • Có lẽ bạn chưa nhận thấy url của trình tải xuống ( example.com/downloader). Mặc dù nó an toàn phía sau màn hình đăng nhập, nhưng nếu kẻ tấn công bắt buộc kẻ tấn công có thể điều hướng trở lại url quản trị viên của bạn.

Bảo mật thông qua che khuất không an toàn chút nào. Để an toàn, bạn nên bảo vệ giao diện quản trị của mình. Điều này có thể được thực hiện với lọc IP, captcha, giới hạn tốc độ, v.v ... Và, tất nhiên, sử dụng mật khẩu mạnh. Rốt cuộc, thấy màn hình đăng nhập quản trị viên của bạn không thực sự là một vấn đề. Chỉ có một vấn đề là người dùng trái phép xâm nhập.

Steve Robbins
nguồn
4
Cũng đáng đề cập: Sử dụng Magento Guest Audit để quét trang web của bạn. Bạn sẽ ngạc nhiên về số lượng bạn tiết lộ cho khách truy cập. (giao diện web là mới, cần làm việc)
Steve Robbins
1
Bullet point one được giải quyết cuối cùng bởi SUPEE-6788. Cài đặt nó, nâng cấp bất kỳ mô-đun nào không hoạt động với nó, vô hiệu hóa Chế độ tương thích định tuyến của quản trị viên. Điều này => github.com/rhoerr/supee-6788-toolbox cho bạn biết mô-đun nào có khả năng cho phép bỏ qua.
Phòng thí nghiệm Fiasco
9

Thực tế là, an ninh bằng cách obfuscation gần như không bao giờ hoạt động. Tôi cho rằng nó thậm chí không bảo vệ bạn khỏi những đứa trẻ kịch bản.

Nhưng với trường hợp này. Có các mô-đun quản trị sử dụng các tuyến riêng của họ cho các url quản trị viên, không sử dụng url quản trị viên tùy chỉnh của bạn. Các mô-đun thanh toán có khả năng làm điều này chẳng hạn (tôi đã tìm thấy 4 trong số chúng tại cửa hàng của chúng tôi).

Bạn có thể finde một số trên github với https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
tôi giả sử mỗi lớp điều khiển không chứa _Adminhtml_là có thể sử dụng cho điều này .

Lưu ý phụ, url tùy chỉnh cho quản trị viên, nhưng không phải cho / người tải xuống? chỉ cần tàn bạo một người dùng quản trị ở đó và bạn có được url quản trị viên từ đó.

Flyingmana
nguồn
Thật sự thú vị. Cảm ơn đã chia sẻ. Những mô-đun thanh toán nào bạn đang sử dụng ngoài lãi?
Shaughn
2
Điều này hiện cũng có thể trên bản cài đặt Magilla vanilla. Chỉ cần nhấn một url nhất định và nó sẽ đưa bạn đến tuyến quản trị (tùy chỉnh hoặc không).
James Anelay - TheExtensionLab
@JamesAnelay Muốn chia sẻ với những người còn lại trong lớp?
Steve Robbins
@JamesAnelay Magento hiện đang làm việc này. Họ có thể sẽ đánh giá cao việc không lan truyền thông tin.
Peter O'Callaghan
1
Tốt hơn là sử dụng quy tắc khóa tường lửa ứng dụng web hoặc .htaccess đối với các chức năng quản trị, kết nối và tải xuống hơn là vượt qua các ngón tay và che khuất của bạn. Các phương thức thụ động như SBO (Bảo mật bằng che khuất) không có răng, họ không quan tâm đến vấn đề bảo mật, chỉ cần di chuyển quyền truy cập của nó với hy vọng bạn gặp may mắn. Đó là những gì tôi gọi là phương pháp bảo mật hàng rào, có những khoảng trống giữa các thanh và các cuộc tấn công luôn có thể phù hợp với các khoảng trống.
Phòng thí nghiệm Fiasco
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.