Jak znaleźli mój niestandardowy URL administratora?

22

Mam niestandardowy adres administratora, wciąż widziałem, jak ktoś próbuje zalogować się do administratora.

Nawet go zmieniłem i wkrótce po wypróbowaniu kolejnego logowania.

Jak to się mogło stać, myślałem, że to bezpieczne?

admin  security 
Flyingmana
źródło
Jest to bezpieczeństwo poprzez niejasność, co nie jest dobrą praktyką. Nie ma znaczenia, czy ludzie będą próbowali zalogować się na adres URL administratora, dopóki się nie powiedzie.
Jon
Bez względu na to, jak sprytnie ogólny niestandardowy URL administratora, prawdopodobnie był już wcześniej używany. Biblioteka adresów URL typu admin jest łatwo dostępna do skanowania strony internetowej. Spróbuj innego halsu. Nie musisz siedzieć w lokalnym Starbucks, pracując na zapleczu swojej witryny. Użyj .htaccess, aby ograniczyć przez adres IP dostęp do / admin i / downloader.
Fiasco Labs,
Willem
2
najśmieszniejsze jest to, że wielu użytkowników umieściło tę niestandardową ścieżkę w pliku robots.txt, ponieważ Disallow ... i wszystkie inne linki / pliki, które zawsze otrzymuję z robots.txt, dlaczego robią to poza moją wyobraźnią ...
Inny sposób. O co w tym chodziło? => magento.stackexchange.com/questions/68003/…
Fiasco Labs

Odpowiedzi:

16

Istnieje kilka sposobów ujawnienia adresu URL administratora. Niektóre obejmują

  • Moduły, które niepoprawnie tworzą kontrolery administracyjne. Odwiedzenie znanej, niewłaściwej, przedniej nazwy administratora spowoduje przekierowanie do ekranu logowania. Na przykład uderzenie example.com/mymodule_admin/foo/bar. „Bezpieczny” kontroler administracyjny rozszerzy się na twoją customadminnazwę użytkownika, na przykład example.com/customadmin/mymodule/foo_bar.
    • Jest to poprawka dla SUPEE-6788, ale jest to ustawienie, które musisz zmienić ręcznie.
  • Adres URL jest widoczny w odpowiedzi XML z example.com/index.php/rss/order/NEW/new.
    • Naprawiono za pomocą SUPEE-6285
  • Niektóre hosty internetowe tworzą dzienniki dostępu w miejscach publicznych, takich jak example.com/access_logs. Osoba atakująca może przeglądać te dzienniki i wyszukiwać obiecujące adresy URL.
  • Odwiedzanie niewłaściwie zabezpieczonego administratora (np. example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • Naprawiono za pomocą SUPEE-5994
  • Prawdopodobnie nie zauważyłeś adresu URL downloadera ( example.com/downloader). Chociaż za ekranem logowania jest bezpiecznie, jeśli brutalna siła zmusi atakującego, może wrócić do adresu administratora.

Bezpieczeństwo wynikające z niejasności wcale nie jest bezpieczne. Aby być bezpiecznym, należy chronić interfejs administratora. Można to zrobić za pomocą filtrowania adresów IP, captchas, limitów prędkości itp. I oczywiście używaj silnych haseł. W końcu wyświetlenie ekranu logowania administratora nie stanowi problemu. Problem stanowi tylko to, że dostaje się do niego nieautoryzowany użytkownik.

Steve Robbins
źródło
4
Warto również wspomnieć: użyj Magento Guest Audit, aby przeskanować swoją stronę. Byłbyś zaskoczony, jak wiele ujawniasz odwiedzającym. (interfejs sieciowy jest nowy, wymaga pracy)
Steve Robbins
1
Punkt pierwszy został wreszcie rozwiązany przez SUPEE-6788. Zainstaluj go, zaktualizuj moduły, które nie będą z nim współpracować, wyłącz tryb zgodności routingu administracyjnego. To => github.com/rhoerr/supee-6788-toolbox informuje, które moduły mogą pozwolić na obejście.
Fiasco Labs,
9

W rzeczywistości bezpieczeństwo przez zaciemnianie prawie nigdy nie działa. Zakładam, że to nawet nie chroni cię przed dzieciakami ze skryptów.

Ale w tym przypadku. Istnieją moduły administracyjne, które używają własnych tras dla adresów URL administratora, a nie używają niestandardowego adresu URL administratora. Moduły płatności prawdopodobnie to robią na przykład (znalazłem 4 z nich w naszym sklepie).

Możesz znaleźć trochę na github z https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Zakładam, że każda klasa kontrolera nie zawiera_Adminhtml_ nadaje się do tego .

uwaga dodatkowa, niestandardowy adres URL dla administratora, ale nie dla / downloader? po prostu brutalnie zmuś użytkownika administracyjnego, a stamtąd otrzymasz adres administratora.

Flyingmana
źródło
Naprawdę interesujące. Dzięki za udział. Z jakich modułów płatności korzystasz poza odsetkami?
Shaughn
2
Jest to obecnie również możliwe w waniliowej instalacji Magento. Wystarczy nacisnąć określony adres URL, aby przejść do trasy administratora (niestandardowej lub nie).
James Anelay - TheExtensionLab
@JamesAnelay Chcesz podzielić się z resztą klasy?
Steve Robbins
@JamesAnelay Magento obecnie nad tym pracują. Prawdopodobnie doceniliby nie rozpowszechnianie informacji.
Peter O'Callaghan,
1
Lepiej jest stosować Zaporę aplikacji sieci Web lub reguły blokowania .htaccess przeciwko funkcjom administratora, łączenia i pobierania niż kciuki i zasłaniać. Metody pasywne, takie jak SBO (Security by Obscurity), nie mają zębów, nie zajmują się kwestią bezpieczeństwa, wystarczy przenieść dostęp w nadziei na szczęście. Nazywam to metodą bezpieczeństwa pikieta, między listwami są luki, a ataki zawsze są w stanie zmieścić się w tych szczelinach.
Fiasco Labs,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.