Jest to bezpieczeństwo poprzez niejasność, co nie jest dobrą praktyką. Nie ma znaczenia, czy ludzie będą próbowali zalogować się na adres URL administratora, dopóki się nie powiedzie.
Jon
Bez względu na to, jak sprytnie ogólny niestandardowy URL administratora, prawdopodobnie był już wcześniej używany. Biblioteka adresów URL typu admin jest łatwo dostępna do skanowania strony internetowej. Spróbuj innego halsu. Nie musisz siedzieć w lokalnym Starbucks, pracując na zapleczu swojej witryny. Użyj .htaccess, aby ograniczyć przez adres IP dostęp do / admin i / downloader.
najśmieszniejsze jest to, że wielu użytkowników umieściło tę niestandardową ścieżkę w pliku robots.txt, ponieważ Disallow ... i wszystkie inne linki / pliki, które zawsze otrzymuję z robots.txt, dlaczego robią to poza moją wyobraźnią ...
Istnieje kilka sposobów ujawnienia adresu URL administratora. Niektóre obejmują
Moduły, które niepoprawnie tworzą kontrolery administracyjne. Odwiedzenie znanej, niewłaściwej, przedniej nazwy administratora spowoduje przekierowanie do ekranu logowania. Na przykład uderzenie example.com/mymodule_admin/foo/bar. „Bezpieczny” kontroler administracyjny rozszerzy się na twoją customadminnazwę użytkownika, na przykład example.com/customadmin/mymodule/foo_bar.
Jest to poprawka dla SUPEE-6788, ale jest to ustawienie, które musisz zmienić ręcznie.
Adres URL jest widoczny w odpowiedzi XML z example.com/index.php/rss/order/NEW/new.
Naprawiono za pomocą SUPEE-6285
Niektóre hosty internetowe tworzą dzienniki dostępu w miejscach publicznych, takich jak example.com/access_logs. Osoba atakująca może przeglądać te dzienniki i wyszukiwać obiecujące adresy URL.
Odwiedzanie niewłaściwie zabezpieczonego administratora (np. example.com/downloadable/Adminhtml_Downloadable_File/upload)
Naprawiono za pomocą SUPEE-5994
Prawdopodobnie nie zauważyłeś adresu URL downloadera ( example.com/downloader). Chociaż za ekranem logowania jest bezpiecznie, jeśli brutalna siła zmusi atakującego, może wrócić do adresu administratora.
Bezpieczeństwo wynikające z niejasności wcale nie jest bezpieczne. Aby być bezpiecznym, należy chronić interfejs administratora. Można to zrobić za pomocą filtrowania adresów IP, captchas, limitów prędkości itp. I oczywiście używaj silnych haseł. W końcu wyświetlenie ekranu logowania administratora nie stanowi problemu. Problem stanowi tylko to, że dostaje się do niego nieautoryzowany użytkownik.
Warto również wspomnieć: użyj Magento Guest Audit, aby przeskanować swoją stronę. Byłbyś zaskoczony, jak wiele ujawniasz odwiedzającym. (interfejs sieciowy jest nowy, wymaga pracy)
Steve Robbins
1
Punkt pierwszy został wreszcie rozwiązany przez SUPEE-6788. Zainstaluj go, zaktualizuj moduły, które nie będą z nim współpracować, wyłącz tryb zgodności routingu administracyjnego. To => github.com/rhoerr/supee-6788-toolbox informuje, które moduły mogą pozwolić na obejście.
Fiasco Labs,
9
W rzeczywistości bezpieczeństwo przez zaciemnianie prawie nigdy nie działa. Zakładam, że to nawet nie chroni cię przed dzieciakami ze skryptów.
Ale w tym przypadku. Istnieją moduły administracyjne, które używają własnych tras dla adresów URL administratora, a nie używają niestandardowego adresu URL administratora. Moduły płatności prawdopodobnie to robią na przykład (znalazłem 4 z nich w naszym sklepie).
uwaga dodatkowa, niestandardowy adres URL dla administratora, ale nie dla / downloader? po prostu brutalnie zmuś użytkownika administracyjnego, a stamtąd otrzymasz adres administratora.
Naprawdę interesujące. Dzięki za udział. Z jakich modułów płatności korzystasz poza odsetkami?
Shaughn
2
Jest to obecnie również możliwe w waniliowej instalacji Magento. Wystarczy nacisnąć określony adres URL, aby przejść do trasy administratora (niestandardowej lub nie).
James Anelay - TheExtensionLab
@JamesAnelay Chcesz podzielić się z resztą klasy?
Steve Robbins
@JamesAnelay Magento obecnie nad tym pracują. Prawdopodobnie doceniliby nie rozpowszechnianie informacji.
Peter O'Callaghan,
1
Lepiej jest stosować Zaporę aplikacji sieci Web lub reguły blokowania .htaccess przeciwko funkcjom administratora, łączenia i pobierania niż kciuki i zasłaniać. Metody pasywne, takie jak SBO (Security by Obscurity), nie mają zębów, nie zajmują się kwestią bezpieczeństwa, wystarczy przenieść dostęp w nadziei na szczęście. Nazywam to metodą bezpieczeństwa pikieta, między listwami są luki, a ataki zawsze są w stanie zmieścić się w tych szczelinach.
Odpowiedzi:
Istnieje kilka sposobów ujawnienia adresu URL administratora. Niektóre obejmują
example.com/mymodule_admin/foo/bar
. „Bezpieczny” kontroler administracyjny rozszerzy się na twojącustomadmin
nazwę użytkownika, na przykładexample.com/customadmin/mymodule/foo_bar
.example.com/index.php/rss/order/NEW/new
.example.com/access_logs
. Osoba atakująca może przeglądać te dzienniki i wyszukiwać obiecujące adresy URL.example.com/downloadable/Adminhtml_Downloadable_File/upload
)example.com/downloader
). Chociaż za ekranem logowania jest bezpiecznie, jeśli brutalna siła zmusi atakującego, może wrócić do adresu administratora.Bezpieczeństwo wynikające z niejasności wcale nie jest bezpieczne. Aby być bezpiecznym, należy chronić interfejs administratora. Można to zrobić za pomocą filtrowania adresów IP, captchas, limitów prędkości itp. I oczywiście używaj silnych haseł. W końcu wyświetlenie ekranu logowania administratora nie stanowi problemu. Problem stanowi tylko to, że dostaje się do niego nieautoryzowany użytkownik.
źródło
W rzeczywistości bezpieczeństwo przez zaciemnianie prawie nigdy nie działa. Zakładam, że to nawet nie chroni cię przed dzieciakami ze skryptów.
Ale w tym przypadku. Istnieją moduły administracyjne, które używają własnych tras dla adresów URL administratora, a nie używają niestandardowego adresu URL administratora. Moduły płatności prawdopodobnie to robią na przykład (znalazłem 4 z nich w naszym sklepie).
Możesz znaleźć trochę na github z https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Zakładam, że każda klasa kontrolera nie zawiera
_Adminhtml_
nadaje się do tego .uwaga dodatkowa, niestandardowy adres URL dla administratora, ale nie dla / downloader? po prostu brutalnie zmuś użytkownika administracyjnego, a stamtąd otrzymasz adres administratora.
źródło
Bardzo fajny jest ten, który pojawia się na stronie podobnyweb.com, ponieważ używasz gadatliwej wtyczki do przeglądarki ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- ty / )
źródło