Як вони знайшли мою власну URL-адресу адміністратора?

22

У мене є власна URL-адреса адміністратора, я все ще бачив, як хтось намагається увійти в адміністратор.

Я навіть змінив його, і незабаром після наступного входу був спробуваний.

Як це могло статися, я вважав, що це безпечно?

admin  security 
Flyingmana
джерело
Це безпека через невідомість, що не є хорошою практикою. Не має значення, чи намагаються люди увійти до вашої URL-адреси адміністратора, доки вони не мають успіху.
Jon
Незалежно від того, наскільки розумно загальна URL-адреса адміністратора, вона, ймовірно, використовувалася і раніше. Бібліотека URL-адрес адміністратора легко доступна для сканування веб-сайту. Спробуйте інший варіант. Вам не потрібно сидіти в місцевих Starbucks, працюючи над заднім числом вашого веб-сайту. Використовуйте .htaccess, щоб обмежити за IP-адресою доступ до / адміністратора та / завантажувача.
Лабораторії Фіаско
Дивіться також magehero.com/posts/886/…
Віллем
2
найсмішніше те, що багато користувачів ставлять цей власний шлях до свого robots.txt, як заборонити ... та всі інші посилання / файли, які я завжди отримую з robots.txt, чому вони роблять це поза моєю уявою ...
Інший спосіб. Ну, в чому справа була? => magento.stackexchange.com/questions/68003/…
Лабораторії Фіаско

Відповіді:

16

Існує кілька способів виявлення URL-адреси адміністратора. Деякі включають

  • Модулі, які неправильно створюють контролери адміністратора. Відвідавши відоме, неправильне, ім'я адміністратора буде перенаправлено на екран входу. Наприклад, удари example.com/mymodule_admin/foo/bar. "Безпечний" адміністратор-контролер буде поширюватися поверх вашого customadminімені, наприклад example.com/customadmin/mymodule/foo_bar.
    • Для цього є виправлення з SUPEE-6788, але це налаштування, яке потрібно змінити вручну.
  • URL-адреса видно у відповіді XML від example.com/index.php/rss/order/NEW/new.
    • Виправлено за допомогою SUPEE-6285
  • Деякі веб-хости створюють журнали доступу в громадських місцях, наприклад example.com/access_logs. Зловмисник може переглядати ці журнали та обнюхувати перспективні URL-адреси.
  • Відвідування неправильно захищеного контролера адміністратора (наприклад example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • Виправлено за допомогою SUPEE-5994
  • Напевно, ви не помітили URL-адресу завантажувача ( example.com/downloader). Хоча це безпечно за екраном входу, якщо зловмисник змушує зловмисника повернутися до вашої адреси адміністратора.

Безпека через незрозумілість взагалі не захищена. Щоб бути безпечним, ви повинні захистити свій адміністраторський інтерфейс. Це можна зробити за допомогою фільтрації IP-адрес, капчу, обмеження швидкості тощо. І, звичайно, використовувати надійні паролі. Зрештою, перегляд екрана входу для адміністратора насправді не є проблемою. Це лише проблема в тому, що потрапляє несанкціонований користувач.

Стів Роббінс
джерело
4
Також варто згадати: Використовуйте Magento Guest Audit для сканування вашого сайту. Ви були б здивовані тим, скільки ви розкриєте відвідувачам. (веб-інтерфейс новий, потрібна робота)
Стів Роббінс
1
Точка першої кулі вирішується нарешті SUPEE-6788. Встановіть його, оновіть будь-які модулі, які не працюватимуть з ним, відключіть режим сумісності адміністратора. Це => github.com/rhoerr/supee-6788-toolbox повідомляє вам, які модулі, ймовірно, дозволяють байпас.
Лабораторії Фіаско
9

Реальність полягає в тому, що безпека притуплення майже ніколи не працює. Я припускаю, що це навіть не захищає вас від дітей із сценарієм.

Але до цього випадку. Існують модулі адміністратора, які використовують власні маршрути для URL-адрес адміністратора, а не користувальницьку URL-адресу адміністратора. Наприклад, платіжні модулі можуть це зробити (наприклад, у нашому магазині я знайшов 4 з них).

Ви можете знайти їх на github за допомогою https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93,
я припускаю, що _Adminhtml_для цього використовується кожен клас контролерів, який не містить .

бічна примітка, спеціальна URL-адреса для адміністратора, але не для / завантажувача? просто brutforce адміністратора користувача там, і ви отримуєте URL-адресу адміністратора звідти.

Flyingmana
джерело
Дійсно цікаво. Дякуємо за частку. Які платіжні модулі ви використовуєте без інтересу?
Шон
2
Наразі це можливо також для установки ванільного Magento. Просто натисніть певну URL-адресу, і вона переведе вас до адміністративного маршруту (користувацького чи ні).
Джеймс Анелай - TheExtensionLab
@JamesAnelay Care, щоб поділитися з рештою класу?
Стів Роббінс
@JamesAnelay Magento зараз працює над цим. Вони, напевно, оцінять, що не поширюватимуть інформацію.
Пітер О'Каллаган
1
Краще використовувати правила брандмауера веб-застосунку або .htaccess щодо функцій адміністрування, підключення та завантажувача, ніж схрещувати пальці та затемнювати. У таких пасивних методів, як SBO (Security by Obscurity) немає зубів, вони піклуються про жодну проблему безпеки, просто перенесіть її доступ у надії, що вам пощастить. Це те, що я називаю пікетом огорожі методом безпеки, між ламелями є прогалини, і атаки завжди здатні вписатися через прогалини.
Лабораторії Фіаско
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.