Это безопасность через неизвестность, которая не является хорошей практикой. Неважно, если люди попытаются войти на ваш админ-URL, если они не увенчались успехом.
Джон
Независимо от того, насколько умно генерируется пользовательский URL администратора, он, вероятно, использовался ранее. Библиотека URL-адресов типа администратора легко доступна для сканирования веб-сайта. Попробуйте другой метод. Вам не нужно сидеть в местном Starbucks, работая над бэкэндом вашего сайта. Используйте .htaccess для ограничения по IP-адресу доступа к / admin и / downloader.
самое смешное, что многие пользователи помещают этот собственный путь в свой robots.txt, как Disallow ... и все другие ссылки / файлы, которые я всегда получаю из robots.txt, почему они делают это, это за пределами моего воображения ...
Есть несколько способов, которыми ваш админ URL может быть выставлен. Некоторые включают
Модули, которые неправильно создают контроллеры администратора. Посещение известного, неправильного имени администратора перенаправит на экран входа в систему. Например, ударить example.com/mymodule_admin/foo/bar. «Безопасный» контроллер администратора будет распространяться поверх вашего customadminимени, например example.com/customadmin/mymodule/foo_bar.
В SUPEE-6788 есть исправление, но эту настройку вы должны изменить вручную.
URL виден в ответе XML example.com/index.php/rss/order/NEW/new.
Исправлено с SUPEE-6285
Некоторые веб-хосты создают журналы доступа в общественных местах, например example.com/access_logs. Злоумышленник может просмотреть эти журналы и найти многообещающие URL-адреса.
Посещение неправильно защищенного административного контроллера (например example.com/downloadable/Adminhtml_Downloadable_File/upload)
Исправлено с SUPEE-5994
Вы, вероятно, не заметили URL-адрес загрузчика ( example.com/downloader). Несмотря на то, что за экраном входа в систему безопасно, злоумышленник может переместиться обратно к URL-адресу администратора.
Безопасность через неизвестность совсем не безопасна. Чтобы быть в безопасности, вы должны защитить свой интерфейс администратора. Это можно сделать с помощью IP-фильтрации, капч, ограничений скорости и т. Д. И, конечно же, используйте надежные пароли. В конце концов, просмотр экрана входа администратора не является проблемой. Проблема только в том, что неавторизованный пользователь получает доступ.
Также стоит упомянуть: Используйте Magento Guest Audit для сканирования вашего сайта. Вы будете удивлены тем, сколько вы откроете посетителям. (веб-интерфейс новый, нуждается в работе)
Стив Роббинс
1
Наконец, к первому пункту относится SUPEE-6788. Установите его, обновите все модули, которые не будут работать с ним, отключите режим совместимости маршрутизации администратора. Это => github.com/rhoerr/supee-6788-toolbox сообщает вам, какие модули могут разрешить обход.
Fiasco Labs
9
Реальность такова, что безопасность путем запутывания почти никогда не работает. Я предполагаю, что это даже не защитит вас от детишек сценария.
Но на этот случай. Существуют административные модули, использующие свои собственные маршруты для URL-адресов администратора, но не использующие пользовательский URL-адрес администратора. Модули оплаты, вероятно, сделают это, например (я нашел 4 из них в нашем магазине).
примечание стороны, пользовательский URL для администратора, но не для / Downloader? просто брутфорс администратора там, и вы получите URL администратора оттуда.
Очень интересно. Спасибо за акцию. Какие платежные модули вы используете из интереса?
Шон
2
Это также в настоящее время возможно на ванильной установке Magento. Просто нажмите на определенную ссылку, и вы попадете на маршрут администратора (пользовательский или нет).
Джеймс Анелай - TheExtensionLab
@JamesAnelay Хотите поделиться с остальными в классе?
Стив Роббинс
@JamesAnelay Magento в настоящее время работают над этим. Они, вероятно, были бы признательны, если бы не распространяли информацию.
Питер О'Каллаган
1
Лучше использовать брандмауэр веб-приложений или правила блокировки .htaccess в отношении функций администратора, подключения и загрузки, чем скрещивать пальцы и скрывать. Пассивные методы, такие как SBO (Security by Obscurity), не имеют зубов, они не заботятся о проблемах безопасности, просто перемещают доступ в надежде, что вам повезет. Это то, что я называю методом безопасности в виде пикетного ограждения: между планками есть зазоры, и атаки всегда могут их преодолеть.
Ответы:
Есть несколько способов, которыми ваш админ URL может быть выставлен. Некоторые включают
example.com/mymodule_admin/foo/bar. «Безопасный» контроллер администратора будет распространяться поверх вашегоcustomadminимени, напримерexample.com/customadmin/mymodule/foo_bar.example.com/index.php/rss/order/NEW/new.example.com/access_logs. Злоумышленник может просмотреть эти журналы и найти многообещающие URL-адреса.example.com/downloadable/Adminhtml_Downloadable_File/upload)example.com/downloader). Несмотря на то, что за экраном входа в систему безопасно, злоумышленник может переместиться обратно к URL-адресу администратора.Безопасность через неизвестность совсем не безопасна. Чтобы быть в безопасности, вы должны защитить свой интерфейс администратора. Это можно сделать с помощью IP-фильтрации, капч, ограничений скорости и т. Д. И, конечно же, используйте надежные пароли. В конце концов, просмотр экрана входа администратора не является проблемой. Проблема только в том, что неавторизованный пользователь получает доступ.
источник
Реальность такова, что безопасность путем запутывания почти никогда не работает. Я предполагаю, что это даже не защитит вас от детишек сценария.
Но на этот случай. Существуют административные модули, использующие свои собственные маршруты для URL-адресов администратора, но не использующие пользовательский URL-адрес администратора. Модули оплаты, вероятно, сделают это, например (я нашел 4 из них в нашем магазине).
Вы можете найти некоторые из них на github с помощью https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93,
я полагаю, что
_Adminhtml_для этого подходит любой класс контроллера ,примечание стороны, пользовательский URL для администратора, но не для / Downloader? просто брутфорс администратора там, и вы получите URL администратора оттуда.
источник
Очень хороший случай, когда он появляется на Similarweb.com, потому что вы используете болтливый плагин для браузера ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- ты / )
источник