Isso é segurança através da obscuridade, o que não é uma boa prática. Não importa se as pessoas tentam fazer login no seu URL de administrador desde que não tenham êxito.
Jon
Não importa o quão genérico seja o URL do administrador personalizado, ele provavelmente já foi usado antes. Uma biblioteca de URLs do tipo administrador está prontamente disponível para verificar um site. Tente outra tática. Você não precisa estar sentado na Starbucks local, trabalhando no back-end do site. Use .htaccess para limitar pelo endereço IP o acesso a / admin e / downloader.
o mais engraçado é que muitos usuários colocam esse caminho personalizado no seu robots.txt, como Proibir ... e todos os outros links / arquivos que eu sempre recebo do robots.txt, por que eles fazem isso além da minha imaginação ...
Existem várias maneiras de expor seu URL de administrador. Alguns incluem
Módulos que criam incorretamente controladores administrativos. Visitar um nome de frente de administrador inadequado e conhecido será redirecionado para a tela de login. Por exemplo, batendo example.com/mymodule_admin/foo/bar. Um controlador de administração "seguro" se estenderá sobre o seu nome da customadminfrente, como example.com/customadmin/mymodule/foo_bar.
Existe uma correção para isso com o SUPEE-6788, mas é uma configuração que você deve alterar manualmente.
O URL é visível na resposta XML de example.com/index.php/rss/order/NEW/new.
Corrigido com SUPEE-6285
Alguns hosts da web criam logs de acesso em áreas públicas, como example.com/access_logs. Um invasor pode examinar esses logs e descobrir URLs promissores.
Visitar um controlador administrativo incorretamente protegido (por exemplo example.com/downloadable/Adminhtml_Downloadable_File/upload)
Corrigido com SUPEE-5994
Você provavelmente não percebeu o URL do download ( example.com/downloader). Embora seja seguro atrás de uma tela de login, se for violento, um invasor poderá navegar de volta ao seu URL de administrador.
A segurança através da obscuridade não é absolutamente segura. Para estar seguro, você deve proteger sua interface de administração. Isso pode ser feito com filtragem de IP, captchas, limites de taxa, etc. E, é claro, use senhas fortes. Afinal, ver a tela de login do administrador não é realmente um problema. É apenas um problema que um usuário não autorizado entra.
Também vale a pena mencionar: Use o Magento Guest Audit para verificar seu site. Você ficaria surpreso com o quanto revela aos visitantes. (interface web é novo, precisa de trabalho)
Steve Robbins
1
O primeiro ponto é abordado finalmente pelo SUPEE-6788. Instale-o, atualize todos os módulos que não funcionarão com ele, desative o Modo de compatibilidade de roteamento de administrador. Isso => github.com/rhoerr/supee-6788-toolbox informa quais módulos provavelmente permitirão o desvio.
Fiasco Labs
9
A realidade é que segurança por ofuscação quase nunca funciona. Suponho que nem mesmo o proteja das crianças do script.
Mas para este caso. Existem módulos de administração que usam suas próprias rotas para os URLs de administrador, não usando seu URL de administrador personalizado. Os módulos de pagamento provavelmente farão isso, por exemplo (eu encontrei 4 deles em nossa loja).
nota lateral, URL personalizado para administrador, mas não para / downloader? basta forçar um usuário administrador lá e você obtém o URL do administrador a partir daí.
Muito interessante. Obrigado pela participação. Quais módulos de pagamento você está usando sem juros?
Shaughn
2
Atualmente, isso também é possível em uma instalação Magento de baunilha. Basta clicar em um determinado URL e leva você para a rota de administrador (personalizada ou não).
James Anelay - TheExtensionLab
@JamesAnelay Gostaria de compartilhar com o resto da classe?
Steve Robbins
@JamesAnelay Magento está atualmente trabalhando nisso. Eles provavelmente apreciariam não divulgar as informações.
Peter O'Callaghan
1
É melhor usar as regras de bloqueio do Web Application Firewall ou .htaccess nas funções de administrador, conexão e download do que cruzar os dedos e obscurecer. Métodos passivos como o SBO (Security by Obscurity) não têm dentes, eles cuidam de nenhum problema de segurança, apenas movem seu acesso na esperança de que você tenha sorte. É o que chamo de método de segurança da cerca de piquete; existem lacunas entre as ripas e os ataques sempre são capazes de se encaixar nessas lacunas.
Respostas:
Existem várias maneiras de expor seu URL de administrador. Alguns incluem
example.com/mymodule_admin/foo/bar
. Um controlador de administração "seguro" se estenderá sobre o seu nome dacustomadmin
frente, comoexample.com/customadmin/mymodule/foo_bar
.example.com/index.php/rss/order/NEW/new
.example.com/access_logs
. Um invasor pode examinar esses logs e descobrir URLs promissores.example.com/downloadable/Adminhtml_Downloadable_File/upload
)example.com/downloader
). Embora seja seguro atrás de uma tela de login, se for violento, um invasor poderá navegar de volta ao seu URL de administrador.A segurança através da obscuridade não é absolutamente segura. Para estar seguro, você deve proteger sua interface de administração. Isso pode ser feito com filtragem de IP, captchas, limites de taxa, etc. E, é claro, use senhas fortes. Afinal, ver a tela de login do administrador não é realmente um problema. É apenas um problema que um usuário não autorizado entra.
fonte
A realidade é que segurança por ofuscação quase nunca funciona. Suponho que nem mesmo o proteja das crianças do script.
Mas para este caso. Existem módulos de administração que usam suas próprias rotas para os URLs de administrador, não usando seu URL de administrador personalizado. Os módulos de pagamento provavelmente farão isso, por exemplo (eu encontrei 4 deles em nossa loja).
Você pode encontrar alguns no github com https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Presumo que todas as classes de controladores que não contêm
_Adminhtml_
sejam utilizáveis para isso .nota lateral, URL personalizado para administrador, mas não para / downloader? basta forçar um usuário administrador lá e você obtém o URL do administrador a partir daí.
fonte
Uma coisa muito legal é quando ela aparece no similarweb.com porque você usa um plug-in de navegador falador ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- você / )
fonte