Özel bir yönetici URL'm var, yine de birisinin yönetici olarak giriş yapmaya çalıştığını gördüm.
Hatta bunu değiştirdim ve bir sonraki girişin denenmesinden kısa bir süre sonra.
Bu nasıl olabilir, güvenli olduğunu düşündüm?
Özel bir yönetici URL'm var, yine de birisinin yönetici olarak giriş yapmaya çalıştığını gördüm.
Hatta bunu değiştirdim ve bir sonraki girişin denenmesinden kısa bir süre sonra.
Bu nasıl olabilir, güvenli olduğunu düşündüm?
Yanıtlar:
Yönetici URL'nizin açığa çıkmasının birkaç yolu vardır. Bazı içerir
example.com/mymodule_admin/foo/bar
. "Güvenli" bir yönetici denetleyicisi, customadmin
ön adınızın üstüne eklenir example.com/customadmin/mymodule/foo_bar
.
example.com/index.php/rss/order/NEW/new
.
example.com/access_logs
. Bir saldırgan bu günlüklere bakabilir ve ümit vaat eden URL'leri görebilir.example.com/downloadable/Adminhtml_Downloadable_File/upload
)
example.com/downloader
) farketmemişsinizdir . Bir giriş ekranının arkasında güvenli olsa da, kaba bir saldırgan saldırganın yönetici URL'sine geri dönebilir.Müstehcenlik yoluyla güvenlik hiç güvenli değildir. Güvende olmak için yönetici arayüzünüzü korumanız gerekir. Bu, IP filtreleme, captcha'lar, oran limitleri vb. İle yapılabilir. Ve tabii ki, güçlü şifreler kullanın. Sonuçta, yönetici giriş ekranınızı görmek aslında bir sorun değil. Bu sadece bir sorun yetkisiz bir kullanıcının girmesidir.
Gerçek şu ki, gizleme ile güvenlik neredeyse hiç işe yaramaz. Seni senaryo çocuklarından bile koruyamadığını farz ediyorum.
Fakat bu davada. Özel URL'nizi kullanmadığınız için, yönetici URL'leri için kendi yollarını kullanan yönetici modülleri vardır. Örneğin ödeme modülleri bunu yapabilir (4 tanesini dükkanımızda buldum).
Sen ile github finde biraz yapabilirsiniz https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
ben içermeyen her denetleyici sınıfı varsayalım _Adminhtml_
bunun için kullanılabiliyor .
not, admin için özel url, ancak / downloader için değil mi? orada bir yönetici kullanıcı brutforce ve oradan yönetici url olsun.
Çok hoş bir şey, benzer bir web tarayıcısında göründüğü zamandır, çünkü konuşkan bir tarayıcı eklentisi kullanırsınız ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- sen / )