Özel yönetici URL’mi nasıl buldular?


22

Özel bir yönetici URL'm var, yine de birisinin yönetici olarak giriş yapmaya çalıştığını gördüm.

Hatta bunu değiştirdim ve bir sonraki girişin denenmesinden kısa bir süre sonra.

Bu nasıl olabilir, güvenli olduğunu düşündüm?


Bu, iyi bir uygulama olmayan belirsizlik yoluyla güvenliktir . İnsanların başarılı olamadıkları sürece yönetici URL’nizle giriş yapmaları farketmez.
Jon,

Özel Yönetici URL’si ne kadar zekice genel olursa olsun, muhtemelen daha önce kullanılmış. Bir web sitesini taramak için yönetici tipi URL'lerden oluşan bir kütüphane kolayca kullanılabilir. Başka bir çiviyi dene. Web sitenizin arka ucunda çalışan yerel Starbucks'ınızda oturmanıza gerek yok. / Admin ve / downloader erişimini IP adresiyle sınırlamak için .htaccess kullanın.
Fiasco Labs

Ayrıca bakınız magehero.com/posts/886/…
Willem

2
En komik olanı, birçok kullanıcının bu özel yolu robots.txt dosyasına Disallow olarak koyması ... ve her zaman robots.txt dosyasından aldığım diğer tüm bağlantı / dosyalar, neden bunu hayal

Diğer yol. Ouch, mesele neydi? => magento.stackexchange.com/questions/68003/…
Fiasco Labs

Yanıtlar:


16

Yönetici URL'nizin açığa çıkmasının birkaç yolu vardır. Bazı içerir

  • Yanlış yönetici denetleyicileri oluşturan modüller. Bilinen, uygunsuz, yönetici ön adını ziyaret etmek giriş ekranına yönlendirilecektir. Örneğin, vurmak example.com/mymodule_admin/foo/bar. "Güvenli" bir yönetici denetleyicisi, customadminön adınızın üstüne eklenir example.com/customadmin/mymodule/foo_bar.
    • SUPEE-6788 ile bunun için bir düzeltme var, ancak bu manuel olarak değiştirmeniz gereken bir ayar.
  • URL, 'ın XML yanıtında görülebilir example.com/index.php/rss/order/NEW/new.
    • SUPEE-6285 ile düzeltildi
  • Bazı web barındıranlar, ortak alanlarda erişim günlükleri oluşturur example.com/access_logs. Bir saldırgan bu günlüklere bakabilir ve ümit vaat eden URL'leri görebilir.
  • Hatalı güvenlik altına alınmış bir yönetici kontrol cihazını ziyaret etmek (ör. example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • SUPEE-5994 ile düzeltildi
  • Muhtemelen indirici url'sini ( example.com/downloader) farketmemişsinizdir . Bir giriş ekranının arkasında güvenli olsa da, kaba bir saldırgan saldırganın yönetici URL'sine geri dönebilir.

Müstehcenlik yoluyla güvenlik hiç güvenli değildir. Güvende olmak için yönetici arayüzünüzü korumanız gerekir. Bu, IP filtreleme, captcha'lar, oran limitleri vb. İle yapılabilir. Ve tabii ki, güçlü şifreler kullanın. Sonuçta, yönetici giriş ekranınızı görmek aslında bir sorun değil. Bu sadece bir sorun yetkisiz bir kullanıcının girmesidir.


4
Ayrıca bahsetmeye değer: Sitenizi taramak için Magento Konuk Denetimi'ni kullanın . Ziyaretçilere ne kadar açıkladığına şaşıracaksınız. (web arayüzü yeni, işe ihtiyacı var)
Steve Robbins

1
Madde işareti birinci nihayet SUPEE-6788 tarafından ele alınmıştır. Kurun, çalışmayan modülleri yükseltin, Yönetici Yönlendirme Uyumluluk Modu'nu devre dışı bırakın. Bu => github.com/rhoerr/supee-6788-toolbox , hangi modüllerin bypass yapmasına izin vereceğini gösterir.
Fiasco Labs

9

Gerçek şu ki, gizleme ile güvenlik neredeyse hiç işe yaramaz. Seni senaryo çocuklarından bile koruyamadığını farz ediyorum.

Fakat bu davada. Özel URL'nizi kullanmadığınız için, yönetici URL'leri için kendi yollarını kullanan yönetici modülleri vardır. Örneğin ödeme modülleri bunu yapabilir (4 tanesini dükkanımızda buldum).

Sen ile github finde biraz yapabilirsiniz https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
ben içermeyen her denetleyici sınıfı varsayalım _Adminhtml_bunun için kullanılabiliyor .

not, admin için özel url, ancak / downloader için değil mi? orada bir yönetici kullanıcı brutforce ve oradan yönetici url olsun.


Gerçekten ilginç. Payınız için teşekkürler. Hangi ödeme modüllerini ilgi alanı dışında kullanıyorsunuz?
Shantn

2
Bu aynı zamanda bir vanilya Magento kurulumunda da mümkündür. Sadece belirli bir URL'ye basın ve sizi yönetici rotasına götürür (özel veya değil).
James Anelay - TheExtensionLab

@JamesAnelay Sınıfın kalanıyla paylaşmak ister misiniz?
Steve Robbins

@JamesAnelay Magento şu anda üzerinde çalışıyor. Muhtemelen bilginin yayılmamasını takdir ederlerdi.
Peter O'Callaghan

1
Parmaklarınızı çaprazlamak ve gizlemek yerine, bir Web Uygulaması Güvenlik Duvarı veya .htaccess kilitleme kurallarını admin, connect ve downloader işlevlerine karşı kullanmak daha iyidir. SBO (Müstehcen Güvenlik) gibi pasif yöntemlerin dişleri yoktur, güvenlik sorunu yoktur, sadece şansınızı şanslı hissetmek için erişiminizi sürdürürler. Çitli güvenlik yöntemi olarak adlandırdığım şeye, çıtalar arasında boşluklar var ve saldırılar boşluklara her zaman sığabiliyor.
Fiasco Labs

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.