Come hanno trovato il mio URL di amministratore personalizzato?

22

Ho un URL di amministratore personalizzato, ho ancora visto qualcuno che cercava di accedere all'amministratore.

L'ho anche cambiato, e poco dopo è stato tentato l'accesso successivo.

Come è potuto accadere, ho pensato che fosse sicuro?

admin  security 
Flyingmana
fonte
Questa è sicurezza attraverso l'oscurità che non è una buona pratica. Non importa se le persone tentano di accedere all'URL di amministrazione purché non abbiano esito positivo.
Jon,
Non importa quanto abilmente generico sia l'URL di amministrazione personalizzato, probabilmente è già stato usato in precedenza. Una libreria di URL di tipo admin è prontamente disponibile per la scansione di un sito Web. Prova un'altra virata. Non devi essere seduto nel tuo Starbucks locale a lavorare sul backend del tuo sito web. Utilizzare .htaccess per limitare in base all'indirizzo IP l'accesso a / admin e / downloader.
Fiasco Labs
Willem,
2
il più divertente è che molti utenti inseriscono questo percorso personalizzato nel loro robots.txt, come Disallow ... e tutti gli altri collegamenti / file che ottengo sempre da robots.txt, perché lo fanno è al di là della mia immaginazione ...
Un altro modo. Ahi, che senso aveva? => magento.stackexchange.com/questions/68003/…
Fiasco Labs

Risposte:

16

Esistono diversi modi per esporre l'URL di amministrazione. Alcuni includono

  • Moduli che creano erroneamente controller di amministrazione. Visitando un nome utente admin noto, non corretto, verrà reindirizzato alla schermata di accesso. Ad esempio, colpire example.com/mymodule_admin/foo/bar. Un controller di amministrazione "sicuro" si estenderà sopra il tuo customadminnome, come example.com/customadmin/mymodule/foo_bar.
    • C'è una soluzione per questo con SUPEE-6788, ma è un'impostazione che devi modificare manualmente.
  • L'URL è visibile nella risposta XML di example.com/index.php/rss/order/NEW/new.
    • Risolto con SUPEE-6285
  • Alcuni host web creano log di accesso in aree pubbliche, come example.com/access_logs. Un utente malintenzionato può esaminare questi registri e annusare URL promettenti.
  • Visita a un controller di amministrazione impropriamente protetto (ad es. example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • Risolto con SUPEE-5994
  • Probabilmente non hai notato il downloader url ( example.com/downloader). Anche se è sicuro dietro una schermata di accesso, se un brutale forzato un utente malintenzionato può tornare all'URL di amministrazione.

La sicurezza attraverso l'oscurità non è affatto sicura. Per sicurezza devi proteggere la tua interfaccia di amministrazione. Questo può essere fatto con filtro IP, captcha, limiti di velocità, ecc. E, naturalmente, utilizzare password complesse. Dopo tutto, vedere la schermata di accesso dell'amministratore non è in realtà un problema. È solo un problema se un utente non autorizzato arriva.

Steve Robbins
fonte
4
Vale anche la pena ricordare: usa Magento Guest Audit per scansionare il tuo sito. Saresti sorpreso di quanto rivelerai ai visitatori. (l'interfaccia web è nuova, necessita di lavori)
Steve Robbins
1
Il punto uno dei punti elenco viene infine risolto da SUPEE-6788. Installalo, aggiorna eventuali moduli che non funzioneranno con esso, disabilita la modalità di compatibilità del routing dell'amministratore. Questo => github.com/rhoerr/supee-6788-toolbox ti dice quali moduli probabilmente consentiranno il bypass.
Fiasco Labs,
9

La realtà è che la sicurezza per offuscamento non funziona quasi mai. Presumo che non ti protegga nemmeno dai kiddie degli script.

Ma in questo caso. Esistono moduli di amministrazione che utilizzano i propri percorsi per gli URL di amministrazione, non utilizzando l'URL di amministrazione personalizzato. È probabile che i moduli di pagamento facciano questo per esempio (ne ho trovati 4 nel nostro negozio).

Puoi trovarne alcuni su github con https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Suppongo che tutte le classi di controller che non contengono _Adminhtml_siano utilizzabili per questo .

nota a margine, URL personalizzato per admin, ma non per / downloader? basta brutalizzare un utente amministratore lì, e da qui ottieni l'URL amministratore.

Flyingmana
fonte
Molto interessante. Grazie per la condivisione Quali moduli di pagamento stai utilizzando per interesse?
Shaughn,
2
Questo è attualmente possibile anche su un'installazione Magento alla vaniglia. Basta premere un determinato URL e ti porta alla rotta dell'amministratore (personalizzata o no).
James Anelay - TheExtensionLab
@JamesAnelay Vuoi condividere con il resto della classe?
Steve Robbins,
@JamesAnelay Magento ci sta attualmente lavorando. Probabilmente apprezzerebbero non diffondere le informazioni.
Peter O'Callaghan,
1
È meglio usare un Web Application Firewall o regole di blocco .htaccess contro le funzioni di amministrazione, connessione e downloader piuttosto che incrociare le dita e oscurare. Metodi passivi come SBO (Security by Obscurity) non hanno denti, non si occupano di problemi di sicurezza, spostano semplicemente l'accesso nella speranza di essere fortunati. È quello che chiamo il metodo di sicurezza del picchetto, ci sono degli spazi tra le stecche e gli attacchi sono sempre in grado di colmare gli spazi.
Fiasco Labs,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.