Saya memiliki url admin khusus, masih saja saya melihat seseorang mencoba masuk ke admin.
Saya bahkan mengubahnya, dan tak lama setelah login berikutnya dicoba.
Bagaimana ini bisa terjadi, saya pikir ini aman?
Saya memiliki url admin khusus, masih saja saya melihat seseorang mencoba masuk ke admin.
Saya bahkan mengubahnya, dan tak lama setelah login berikutnya dicoba.
Bagaimana ini bisa terjadi, saya pikir ini aman?
Jawaban:
Ada beberapa cara url admin Anda dapat diekspos. Beberapa di antaranya
example.com/mymodule_admin/foo/bar
. Pengontrol admin "aman" akan diperluas di atas nama depan Anda customadmin
, misalnya example.com/customadmin/mymodule/foo_bar
.
example.com/index.php/rss/order/NEW/new
.
example.com/access_logs
. Seorang penyerang bisa melihat log ini dan mengendus URL yang menjanjikan.example.com/downloadable/Adminhtml_Downloadable_File/upload
)
example.com/downloader
). Meskipun aman di balik layar masuk, jika brute memaksa penyerang dapat menavigasi kembali ke url admin Anda.Keamanan melalui ketidakjelasan sama sekali tidak aman. Agar aman, Anda harus melindungi antarmuka admin Anda. Ini dapat dilakukan dengan penyaringan IP, captcha, batas nilai, dll. Dan, tentu saja, gunakan kata sandi yang kuat. Lagi pula, melihat layar login admin Anda sebenarnya bukan masalah. Itu hanya masalah adalah pengguna yang tidak sah masuk.
Kenyataannya adalah, keamanan dengan kebingungan hampir tidak pernah berhasil. Saya menganggap itu bahkan tidak melindungi Anda dari skrip kiddies.
Tetapi untuk kasus ini. Ada modul admin menggunakan rute mereka sendiri untuk url admin, tidak menggunakan url admin kustom Anda. Modul pembayaran cenderung melakukan ini sebagai contoh (saya menemukan 4 di antaranya di toko kami).
Anda dapat menemukan beberapa di github dengan https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Saya menganggap setiap kelas kontroler tidak _Adminhtml_
dapat digunakan untuk hal ini. .
catatan tambahan, url khusus untuk admin, tetapi tidak untuk / pengunduh? cukup paksa pengguna admin di sana, dan Anda mendapatkan url admin dari sana.
Yang sangat bagus adalah ketika muncul di sameweb.com karena Anda menggunakan peramban-peramban yang cerewet ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- Anda / )