Как они нашли мой пользовательский URL администратора?

22

У меня есть пользовательский URL-адрес администратора, но я видел, как кто-то пытается войти в систему.

Я даже изменил его, и вскоре после того, как следующий логин был опробован.

Как это могло произойти, я думал, это безопасно?

Flyingmana
источник
Это безопасность через неизвестность, которая не является хорошей практикой. Неважно, если люди попытаются войти на ваш админ-URL, если они не увенчались успехом.
Джон
Независимо от того, насколько умно генерируется пользовательский URL администратора, он, вероятно, использовался ранее. Библиотека URL-адресов типа администратора легко доступна для сканирования веб-сайта. Попробуйте другой метод. Вам не нужно сидеть в местном Starbucks, работая над бэкэндом вашего сайта. Используйте .htaccess для ограничения по IP-адресу доступа к / admin и / downloader.
Фиаско Labs
См. Также magehero.com/posts/886/…
Виллем
2
самое смешное, что многие пользователи помещают этот собственный путь в свой robots.txt, как Disallow ... и все другие ссылки / файлы, которые я всегда получаю из robots.txt, почему они делают это, это за пределами моего воображения ...
По-другому. Ой, какой был смысл? => magento.stackexchange.com/questions/68003/…
Fiasco Labs

Ответы:

16

Есть несколько способов, которыми ваш админ URL может быть выставлен. Некоторые включают

  • Модули, которые неправильно создают контроллеры администратора. Посещение известного, неправильного имени администратора перенаправит на экран входа в систему. Например, ударить example.com/mymodule_admin/foo/bar. «Безопасный» контроллер администратора будет распространяться поверх вашего customadminимени, например example.com/customadmin/mymodule/foo_bar.
    • В SUPEE-6788 есть исправление, но эту настройку вы должны изменить вручную.
  • URL виден в ответе XML example.com/index.php/rss/order/NEW/new.
    • Исправлено с SUPEE-6285
  • Некоторые веб-хосты создают журналы доступа в общественных местах, например example.com/access_logs. Злоумышленник может просмотреть эти журналы и найти многообещающие URL-адреса.
  • Посещение неправильно защищенного административного контроллера (например example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • Исправлено с SUPEE-5994
  • Вы, вероятно, не заметили URL-адрес загрузчика ( example.com/downloader). Несмотря на то, что за экраном входа в систему безопасно, злоумышленник может переместиться обратно к URL-адресу администратора.

Безопасность через неизвестность совсем не безопасна. Чтобы быть в безопасности, вы должны защитить свой интерфейс администратора. Это можно сделать с помощью IP-фильтрации, капч, ограничений скорости и т. Д. И, конечно же, используйте надежные пароли. В конце концов, просмотр экрана входа администратора не является проблемой. Проблема только в том, что неавторизованный пользователь получает доступ.

Стив Роббинс
источник
4
Также стоит упомянуть: Используйте Magento Guest Audit для сканирования вашего сайта. Вы будете удивлены тем, сколько вы откроете посетителям. (веб-интерфейс новый, нуждается в работе)
Стив Роббинс
1
Наконец, к первому пункту относится SUPEE-6788. Установите его, обновите все модули, которые не будут работать с ним, отключите режим совместимости маршрутизации администратора. Это => github.com/rhoerr/supee-6788-toolbox сообщает вам, какие модули могут разрешить обход.
Fiasco Labs
9

Реальность такова, что безопасность путем запутывания почти никогда не работает. Я предполагаю, что это даже не защитит вас от детишек сценария.

Но на этот случай. Существуют административные модули, использующие свои собственные маршруты для URL-адресов администратора, но не использующие пользовательский URL-адрес администратора. Модули оплаты, вероятно, сделают это, например (я нашел 4 из них в нашем магазине).

Вы можете найти некоторые из них на github с помощью https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93,
я полагаю, что _Adminhtml_для этого подходит любой класс контроллера ,

примечание стороны, пользовательский URL для администратора, но не для / Downloader? просто брутфорс администратора там, и вы получите URL администратора оттуда.

Flyingmana
источник
Очень интересно. Спасибо за акцию. Какие платежные модули вы используете из интереса?
Шон
2
Это также в настоящее время возможно на ванильной установке Magento. Просто нажмите на определенную ссылку, и вы попадете на маршрут администратора (пользовательский или нет).
Джеймс Анелай - TheExtensionLab
@JamesAnelay Хотите поделиться с остальными в классе?
Стив Роббинс
@JamesAnelay Magento в настоящее время работают над этим. Они, вероятно, были бы признательны, если бы не распространяли информацию.
Питер О'Каллаган
1
Лучше использовать брандмауэр веб-приложений или правила блокировки .htaccess в отношении функций администратора, подключения и загрузки, чем скрещивать пальцы и скрывать. Пассивные методы, такие как SBO (Security by Obscurity), не имеют зубов, они не заботятся о проблемах безопасности, просто перемещают доступ в надежде, что вам повезет. Это то, что я называю методом безопасности в виде пикетного ограждения: между планками есть зазоры, и атаки всегда могут их преодолеть.
Fiasco Labs