Ich habe eine benutzerdefinierte Admin-URL, trotzdem habe ich jemanden gesehen, der versucht, sich bei Admin anzumelden.
Ich habe es sogar geändert und kurz darauf wurde das nächste Login versucht.
Wie konnte das passieren, dachte ich, dass es sicher ist?
Antworten:
Es gibt eine Handvoll Möglichkeiten, wie Ihre Administrator-URL angezeigt werden kann. Einige schließen ein
example.com/mymodule_admin/foo/bar
. Ein "sicherer" Admin-Controller wirdcustomadmin
wie oben auf Ihren Frontnamen gesetztexample.com/customadmin/mymodule/foo_bar
.example.com/index.php/rss/order/NEW/new
.example.com/access_logs
. Ein Angreifer könnte diese Protokolle durchsuchen und vielversprechende URLs herausfinden.example.com/downloadable/Adminhtml_Downloadable_File/upload
)example.com/downloader
) wahrscheinlich nicht bemerkt . Obwohl es hinter einem Anmeldebildschirm sicher ist, kann ein Angreifer, wenn er dazu gezwungen wird, zu Ihrer Administrator-URL zurückkehren.Sicherheit durch Dunkelheit ist überhaupt nicht sicher. Um sicher zu gehen, sollten Sie Ihre Admin-Oberfläche schützen. Dies kann mit IP-Filtern, Captchas, Ratenbeschränkungen usw. erfolgen. Verwenden Sie natürlich sichere Kennwörter. Immerhin ist es kein Problem, Ihren Administrator-Anmeldebildschirm zu sehen. Es ist nur ein Problem, wenn ein nicht autorisierter Benutzer eintritt.
quelle
Die Realität ist, Sicherheit durch Verschleierung funktioniert so gut wie nie. Ich nehme an, es schützt dich nicht einmal vor Script-Kiddies.
Aber zu diesem Fall. Es gibt Admin-Module, die ihre eigenen Routen für die Admin-URLs verwenden und nicht Ihre benutzerdefinierte Admin-URL. Zahlungsmodule tun dies wahrscheinlich zum Beispiel (4 davon habe ich in unserem Shop gefunden).
Sie finden einige auf Github mit https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Ich gehe davon aus, dass jede nicht enthaltene Controller-Klasse
_Adminhtml_
für diese verwendet werden kann .Randnotiz, benutzerdefinierte URL für Admin, aber nicht für / Downloader? Brutforce einfach einen Admin-Benutzer dort und du erhältst die Admin-URL von dort.
quelle
Sehr schön ist es, wenn es auf similarweb.com erscheint, weil Sie ein gesprächiges Browser-Plugin verwenden ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on-- du / )
quelle