พวกเขาพบ URL ผู้ดูแลระบบที่กำหนดเองได้อย่างไร

ฉันมี URL ของผู้ดูแลระบบที่กำหนดเอง แต่ฉันก็ยังเห็นใครบางคนกำลังพยายามเข้าสู่ระบบของผู้ดูแลระบบ

ฉันยังเปลี่ยนมันและไม่นานหลังจากพยายามเข้าสู่ระบบต่อไป

ฉันคิดว่ามันปลอดภัยได้อย่างไร

admin security

นี่คือความปลอดภัยผ่านความสับสนซึ่งไม่ใช่วิธีปฏิบัติที่ดี ไม่สำคัญว่าจะมีคนพยายามลงชื่อเข้าใช้ URL ผู้ดูแลระบบของคุณตราบใดที่พวกเขาไม่ประสบความสำเร็จ

— Jon

ไม่ว่า URL ของผู้ดูแลระบบที่กำหนดเองจะถูกใช้อย่างชาญฉลาด แต่ก็อาจเคยมีการใช้มาก่อน มีไลบรารีของ URL ประเภทผู้ดูแลระบบที่พร้อมใช้งานเพื่อสแกนเว็บไซต์ ลองแทคอื่น คุณไม่จำเป็นต้องนั่งอยู่ในสตาร์บัคในพื้นที่ของคุณทำงานบนแบ็กเอนด์เว็บไซต์ของคุณ ใช้. htaccess เพื่อ จำกัด โดยที่อยู่ IP การเข้าถึง / admin และ / downloader

— Fiasco Labs

ดูเพิ่มเติมได้ที่magehero.com/posts/886/…

— วิลเล็ม

ที่สนุกที่สุดคือผู้ใช้หลายคนวางเส้นทางแบบกำหนดเองนี้ไปที่ robots.txt ของพวกเขาในฐานะ Disallow ... และลิงก์ / ไฟล์อื่น ๆ ทั้งหมดที่ฉันได้รับจาก robots.txt ทำไมพวกเขาทำสิ่งนี้เกินจินตนาการ ...

อีกวิธีหนึ่ง อุ๊ยอะไรคือประเด็น => magento.stackexchange.com/questions/68003/…

— Fiasco Labs

คำตอบ:

มีหลายวิธีในการเปิดเผย URL ของผู้ดูแลระบบของคุณ บางคนรวมถึง

โมดูลที่สร้างตัวควบคุมผู้ดูแลระบบไม่ถูกต้อง การเยี่ยมชมชื่อผู้ดูแลระบบที่เป็นที่รู้จักและไม่เหมาะสมจะเปลี่ยนเส้นทางไปยังหน้าจอเข้าสู่ระบบ example.com/mymodule_admin/foo/barยกตัวอย่างเช่นการกดปุ่ม A "ปลอดภัย" ควบคุมดูแลระบบจะขยายด้านบนของคุณcustomadminfrontName example.com/customadmin/mymodule/foo_barเช่น
- มีการแก้ไขสำหรับสิ่งนี้กับ SUPEE-6788 แต่เป็นการตั้งค่าที่คุณต้องเปลี่ยนด้วยตนเอง
URL example.com/index.php/rss/order/NEW/newคือมองเห็นได้ในการตอบสนองของ
- แก้ไขด้วย SUPEE-6285
example.com/access_logsบางโฮสต์เว็บสร้างบันทึกการเข้าถึงในพื้นที่สาธารณะเช่น ผู้โจมตีสามารถดูบันทึกเหล่านี้และดมกลิ่น URL ที่เป็นสัญญาได้
เยี่ยมชมคอนโทรลเลอร์ของผู้ดูแลระบบที่มีความปลอดภัยไม่ถูกต้อง (เช่นexample.com/downloadable/Adminhtml_Downloadable_File/upload)
- แก้ไขด้วย SUPEE-5994
คุณอาจไม่ได้สังเกตเห็น URL ของตัวดาวน์โหลด ( example.com/downloader) แม้ว่าจะปลอดภัยหลังหน้าจอเข้าสู่ระบบหากเดรัจฉานบังคับให้ผู้โจมตีสามารถนำทางกลับไปยัง URL ผู้ดูแลระบบของคุณ

ความปลอดภัยจากความสับสนไม่ปลอดภัยเลย เพื่อความปลอดภัยคุณควรปกป้องอินเทอร์เฟซผู้ดูแลระบบของคุณ สิ่งนี้สามารถทำได้ด้วยการกรอง IP, captchas, จำกัด อัตรา ฯลฯ และแน่นอนว่าใช้รหัสผ่านที่คาดเดายาก ท้ายที่สุดการเห็นหน้าจอเข้าสู่ระบบผู้ดูแลระบบของคุณไม่ใช่ปัญหา มันเป็นเพียงปัญหาคือผู้ใช้ที่ไม่ได้รับอนุญาตเข้ามา

— Steve Robbins
แหล่งที่มา

นอกจากนี้ยังควรกล่าวถึง: ใช้Magento Guest Auditเพื่อสแกนเว็บไซต์ของคุณ คุณจะประหลาดใจกับจำนวนเงินที่คุณเปิดเผยต่อผู้เยี่ยมชม (เว็บอินเตอร์เฟสเป็นของใหม่ต้องการทำงาน)

— Steve Robbins

ในที่สุดกระสุนหนึ่งจะได้รับการแก้ไขโดย SUPEE-6788 ติดตั้งอัปเกรดโมดูลใด ๆ ที่ไม่สามารถใช้งานได้ปิดใช้งานโหมดความเข้ากันได้ของการกำหนดเส้นทางผู้ดูแลระบบ นี่ => github.com/rhoerr/supee-6788-toolboxจะบอกคุณว่าโมดูลใดน่าจะอนุญาตให้ใช้บายพาสได้

— Fiasco Labs

ความจริงก็คือความปลอดภัยโดยการทำให้งงงวยเกือบจะไม่ทำงาน ฉันคิดว่ามันไม่ได้ปกป้องคุณจาก kiddies สคริปต์

แต่ในกรณีนี้ มีโมดูลผู้ดูแลระบบที่ใช้เส้นทางของตนเองสำหรับ URL ของผู้ดูแลระบบไม่ได้ใช้ URL ผู้ดูแลระบบที่กำหนดเองของคุณ โมดูลการชำระเงินมีแนวโน้มที่จะทำเช่นนี้ (ฉันพบ 4 แห่งจากร้านค้าของเรา)

คุณสามารถ finde บางอย่างบน GitHub กับhttps://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
ผมถือว่าทุกระดับควบคุมไม่ได้ที่มี_Adminhtml_สามารถใช้งานได้สำหรับเรื่องนี้ .

ด้านข้าง, URL ที่กำหนดเองสำหรับผู้ดูแลระบบ แต่ไม่ใช่สำหรับ / downloader? เพียง brutforce ผู้ใช้ผู้ดูแลระบบที่นั่นและคุณจะได้รับ URL ของผู้ดูแลระบบจากที่นั่น

— Flyingmana
แหล่งที่มา

น่าสนใจจริงๆ. ขอบคุณสำหรับการแบ่งปัน โมดูลการชำระเงินใดที่คุณใช้หมดดอกเบี้ย

— Shaughn

สิ่งนี้ยังเป็นไปได้ในการติดตั้ง vanilla Magento เพียงกด URL ที่ต้องการและจะนำคุณไปยังเส้นทางผู้ดูแลระบบ (กำหนดเองหรือไม่)

— James Anelay - TheExtensionLab

@JamesAnelay สนใจที่จะแบ่งปันกับชั้นเรียนที่เหลือหรือไม่

— Steve Robbins

@JamesAnelay Magento กำลังทำสิ่งนี้อยู่ พวกเขาอาจจะชื่นชมที่ไม่กระจายข้อมูล

— Peter O'Callaghan

เป็นการดีกว่าที่จะใช้ Web Application Firewall หรือกฎ. htaccess lockdown กับผู้ดูแลระบบเชื่อมต่อและดาวน์โหลดฟังก์ชั่นมากกว่าที่จะข้ามนิ้วของคุณและปิดบัง วิธีการแบบพาสซีฟเช่น SBO (ความปลอดภัยโดยความสับสน) ไม่มีฟันพวกเขาดูแลไม่มีปัญหาด้านความปลอดภัยเพียงแค่ย้ายการเข้าถึงในความหวังที่คุณจะได้รับโชคดี มันเป็นสิ่งที่ฉันเรียกว่าวิธีการรักษาความปลอดภัยรั้วไม้มีช่องว่างระหว่างแผ่นและการโจมตีมักจะสามารถผ่านช่องว่าง

— Fiasco Labs

หนึ่งที่ดีมากคือเมื่อมันปรากฏบน similarweb.com เพราะคุณใช้ช่างพูดเบราว์เซอร์ปลั๊กอิน ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- คุณ / )

— Bernhard Zürn
แหล่งที่มา