Wie haben sie meine benutzerdefinierte Admin-URL gefunden?

22

Ich habe eine benutzerdefinierte Admin-URL, trotzdem habe ich jemanden gesehen, der versucht, sich bei Admin anzumelden.

Ich habe es sogar geändert und kurz darauf wurde das nächste Login versucht.

Wie konnte das passieren, dachte ich, dass es sicher ist?

Flyingmana
quelle
Dies ist Sicherheit durch Dunkelheit, was keine gute Praxis ist. Es spielt keine Rolle, ob Personen versuchen, sich bei Ihrer Administrator-URL anzumelden, solange sie nicht erfolgreich sind.
Jon
Egal wie geschickt die benutzerdefinierte Admin-URL ist, sie wurde wahrscheinlich schon früher verwendet. Zum Scannen einer Website steht eine Bibliothek mit URLs vom Typ "Administrator" zur Verfügung. Versuchen Sie es mit einem anderen Ansatz. Sie müssen nicht in Ihrem lokalen Starbucks sitzen und an Ihrem Website-Backend arbeiten. Verwenden Sie .htaccess, um den Zugriff auf / admin und / downloader anhand der IP-Adresse zu beschränken.
Fiasco Labs
Siehe auch magehero.com/posts/886/…
Willem
2
das Lustigste ist , dass viele Nutzer ihre robots.txt dieses benutzerdefinierten Pfad setzen, wie nicht zulassen ... und alle anderen Links / Dateien , die ich immer von robots.txt bekommen, warum sie dies tun , jenseits meiner Vorstellungskraft ist ...
Ein anderer Weg. Autsch, worum ging es? => magento.stackexchange.com/questions/68003/…
Fiasco Labs

Antworten:

16

Es gibt eine Handvoll Möglichkeiten, wie Ihre Administrator-URL angezeigt werden kann. Einige schließen ein

  • Module, die Admin-Controller falsch erstellen. Wenn Sie einen bekannten, falschen Administrator-Frontnamen aufrufen, wird der Anmeldebildschirm aufgerufen . Zum Beispiel schlagen example.com/mymodule_admin/foo/bar. Ein "sicherer" Admin-Controller wird customadminwie oben auf Ihren Frontnamen gesetzt example.com/customadmin/mymodule/foo_bar.
    • In SUPEE-6788 gibt es eine Fehlerbehebung, die Sie jedoch manuell ändern müssen.
  • Die URL ist in der XML-Antwort von sichtbar example.com/index.php/rss/order/NEW/new.
    • Mit SUPEE-6285 behoben
  • Einige Webhoster erstellen Zugriffsprotokolle in öffentlichen Bereichen, z example.com/access_logs. Ein Angreifer könnte diese Protokolle durchsuchen und vielversprechende URLs herausfinden.
  • Aufrufen eines nicht ordnungsgemäß gesicherten Admin-Controllers (z. B. example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • Behoben mit SUPEE-5994
  • Sie haben die Downloader-URL ( example.com/downloader) wahrscheinlich nicht bemerkt . Obwohl es hinter einem Anmeldebildschirm sicher ist, kann ein Angreifer, wenn er dazu gezwungen wird, zu Ihrer Administrator-URL zurückkehren.

Sicherheit durch Dunkelheit ist überhaupt nicht sicher. Um sicher zu gehen, sollten Sie Ihre Admin-Oberfläche schützen. Dies kann mit IP-Filtern, Captchas, Ratenbeschränkungen usw. erfolgen. Verwenden Sie natürlich sichere Kennwörter. Immerhin ist es kein Problem, Ihren Administrator-Anmeldebildschirm zu sehen. Es ist nur ein Problem, wenn ein nicht autorisierter Benutzer eintritt.

Steve Robbins
quelle
4
Erwähnenswert ist auch: Scannen Sie Ihre Website mit Magento Guest Audit . Sie wären überrascht, wie viel Sie den Besuchern preisgeben. (Webinterface ist neu, braucht Arbeit)
Steve Robbins
1
Punkt eins wird schließlich von SUPEE-6788 angesprochen. Installieren Sie es, aktualisieren Sie alle Module, die nicht damit funktionieren, und deaktivieren Sie den Admin-Routing-Kompatibilitätsmodus. Diese => github.com/rhoerr/supee-6788-toolbox gibt an, welche Module den Bypass wahrscheinlich zulassen.
Fiasco Labs
9

Die Realität ist, Sicherheit durch Verschleierung funktioniert so gut wie nie. Ich nehme an, es schützt dich nicht einmal vor Script-Kiddies.

Aber zu diesem Fall. Es gibt Admin-Module, die ihre eigenen Routen für die Admin-URLs verwenden und nicht Ihre benutzerdefinierte Admin-URL. Zahlungsmodule tun dies wahrscheinlich zum Beispiel (4 davon habe ich in unserem Shop gefunden).

Sie finden einige auf Github mit https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Ich gehe davon aus, dass jede nicht enthaltene Controller-Klasse _Adminhtml_für diese verwendet werden kann .

Randnotiz, benutzerdefinierte URL für Admin, aber nicht für / Downloader? Brutforce einfach einen Admin-Benutzer dort und du erhältst die Admin-URL von dort.

Flyingmana
quelle
Wirklich interessant. Danke für die Aktie. Welche Zahlungsmodule verwenden Sie aus Interesse?
Shaughn
2
Dies ist derzeit auch bei einer Vanilla Magento-Installation möglich. Drücken Sie einfach eine bestimmte URL und Sie gelangen zur Administratorroute (benutzerdefiniert oder nicht).
James Anelay - TheExtensionLab
@JamesAnelay Care mit dem Rest der Klasse zu teilen?
Steve Robbins
@JamesAnelay Magento arbeitet derzeit daran. Sie würden es wahrscheinlich begrüßen, wenn sie die Informationen nicht verbreiten würden.
Peter O'Callaghan
1
Es ist besser, eine Webanwendungs-Firewall oder .htaccess-Sperrregeln für Administrator-, Verbindungs- und Downloadfunktionen zu verwenden, als die Daumen zu drücken und zu verbergen. Passive Methoden wie SBO (Security by Obscurity) haben keine Zähne, sie kümmern sich nicht um Sicherheitsprobleme, sondern verschieben den Zugriff in die Hoffnung, dass Sie Glück haben. Es ist das, was ich als Streikposten-Sicherheitsmethode bezeichne. Es gibt Lücken zwischen den Latten und die Angriffe können immer durch die Lücken passen.
Fiasco Labs