Bagaimana mereka menemukan URL admin khusus saya?


22

Saya memiliki url admin khusus, masih saja saya melihat seseorang mencoba masuk ke admin.

Saya bahkan mengubahnya, dan tak lama setelah login berikutnya dicoba.

Bagaimana ini bisa terjadi, saya pikir ini aman?


Ini adalah keamanan melalui ketidakjelasan yang bukan praktik yang baik. Tidak masalah jika orang mencoba masuk ke URL admin Anda selama mereka tidak berhasil.
Jon

Tidak peduli seberapa pintar generik URL Admin khusus, mungkin sudah pernah digunakan sebelumnya. Perpustakaan URL jenis admin sudah tersedia untuk memindai situs web. Coba taktik lain. Anda tidak perlu duduk di Starbucks lokal Anda mengerjakan backend situs web Anda. Gunakan .htaccess untuk membatasi dengan alamat IP akses ke / admin dan / downloader.
Fiasco Labs


2
yang paling lucu adalah bahwa banyak pengguna menempatkan jalur khusus ini ke robots.txt mereka, sebagai Disallow ... dan semua tautan / file lain yang selalu saya dapatkan dari robots.txt, mengapa mereka melakukan ini di luar imajinasi saya ...

Jawaban:


16

Ada beberapa cara url admin Anda dapat diekspos. Beberapa di antaranya

  • Modul yang membuat pengontrol admin salah. Mengunjungi nama depan admin yang dikenal, tidak patut, akan mengarahkan ke layar login. Misalnya, memukulexample.com/mymodule_admin/foo/bar . Pengontrol admin "aman" akan diperluas di atas nama depan Anda customadmin, misalnya example.com/customadmin/mymodule/foo_bar.
    • Ada perbaikan untuk ini dengan SUPEE-6788, tetapi ini adalah pengaturan yang harus Anda ubah secara manual.
  • URL terlihat dalam respons XML dari example.com/index.php/rss/order/NEW/new.
    • Diperbaiki dengan SUPEE-6285
  • Beberapa host web membuat log akses di area publik, seperti example.com/access_logs . Seorang penyerang bisa melihat log ini dan mengendus URL yang menjanjikan.
  • Mengunjungi pengontrol admin yang diamankan secara tidak benar (mis example.com/downloadable/Adminhtml_Downloadable_File/upload )
    • Diperbaiki dengan SUPEE-5994
  • Anda mungkin belum memperhatikan url pengunduh ( example.com/downloader). Meskipun aman di balik layar masuk, jika brute memaksa penyerang dapat menavigasi kembali ke url admin Anda.

Keamanan melalui ketidakjelasan sama sekali tidak aman. Agar aman, Anda harus melindungi antarmuka admin Anda. Ini dapat dilakukan dengan penyaringan IP, captcha, batas nilai, dll. Dan, tentu saja, gunakan kata sandi yang kuat. Lagi pula, melihat layar login admin Anda sebenarnya bukan masalah. Itu hanya masalah adalah pengguna yang tidak sah masuk.


4
Juga layak disebutkan: Gunakan Audit Tamu Magento untuk memindai situs Anda. Anda akan terkejut melihat seberapa banyak Anda mengungkapkan kepada pengunjung. (antarmuka web baru, perlu dikerjakan)
Steve Robbins

1
Poin pertama akhirnya ditangani oleh SUPEE-6788. Instal, perbarui modul apa pun yang tidak akan berfungsi dengannya, nonaktifkan Mode Kompatibilitas Penelusuran Admin. Ini => github.com/rhoerr/supee-6788-toolbox memberi tahu Anda modul mana yang memungkinkan untuk memotong.
Fiasco Labs

9

Kenyataannya adalah, keamanan dengan kebingungan hampir tidak pernah berhasil. Saya menganggap itu bahkan tidak melindungi Anda dari skrip kiddies.

Tetapi untuk kasus ini. Ada modul admin menggunakan rute mereka sendiri untuk url admin, tidak menggunakan url admin kustom Anda. Modul pembayaran cenderung melakukan ini sebagai contoh (saya menemukan 4 di antaranya di toko kami).

Anda dapat menemukan beberapa di github dengan https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Saya menganggap setiap kelas kontroler tidak _Adminhtml_dapat digunakan untuk hal ini. .

catatan tambahan, url khusus untuk admin, tetapi tidak untuk / pengunduh? cukup paksa pengguna admin di sana, dan Anda mendapatkan url admin dari sana.


Sangat menarik. Terima kasih untuk bagiannya. Modul pembayaran mana yang Anda gunakan tanpa bunga?
Shaughn

2
Ini juga saat ini dimungkinkan pada instalasi vanilla Magento. Tekan saja url tertentu dan itu akan membawa Anda ke rute admin (khusus atau tidak).
James Anelay - TheExtensionLab

@JamesAnelay Care untuk berbagi dengan seluruh kelas?
Steve Robbins

@JamesAnelay Magento saat ini sedang mengerjakan ini. Mereka mungkin akan menghargai tidak menyebarkan informasi.
Peter O'Callaghan

1
Lebih baik menggunakan Firewall Aplikasi Web atau aturan penguncian .htaccess terhadap fungsi admin, koneksi, dan pengunduh daripada menyilangkan jari Anda dan mengaburkan. Metode pasif seperti SBO (Security by Obscurity) tidak memiliki gigi, mereka menjaga tidak ada masalah keamanan, hanya memindahkan aksesnya dengan harapan Anda beruntung. Itulah yang saya sebut metode pagar kayu keamanan, ada celah antara bilah dan serangan selalu bisa masuk melalui celah.
Fiasco Labs

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.