Como eles encontraram meu URL de administrador personalizado?

22

Eu tenho um URL de administrador personalizado, ainda vi alguém tentando fazer login no administrador.

Eu até mudei e logo após o próximo login ser tentado.

Como isso pôde acontecer, achei seguro?

Flyingmana
fonte
Isso é segurança através da obscuridade, o que não é uma boa prática. Não importa se as pessoas tentam fazer login no seu URL de administrador desde que não tenham êxito.
Jon
Não importa o quão genérico seja o URL do administrador personalizado, ele provavelmente já foi usado antes. Uma biblioteca de URLs do tipo administrador está prontamente disponível para verificar um site. Tente outra tática. Você não precisa estar sentado na Starbucks local, trabalhando no back-end do site. Use .htaccess para limitar pelo endereço IP o acesso a / admin e / downloader.
Fiasco Labs
Veja também magehero.com/posts/886/…
Willem
2
o mais engraçado é que muitos usuários colocam esse caminho personalizado no seu robots.txt, como Proibir ... e todos os outros links / arquivos que eu sempre recebo do robots.txt, por que eles fazem isso além da minha imaginação ...
Outra maneira. Ai, qual era o objetivo? => magento.stackexchange.com/questions/68003/…
Fiasco Labs

Respostas:

16

Existem várias maneiras de expor seu URL de administrador. Alguns incluem

  • Módulos que criam incorretamente controladores administrativos. Visitar um nome de frente de administrador inadequado e conhecido será redirecionado para a tela de login. Por exemplo, batendo example.com/mymodule_admin/foo/bar. Um controlador de administração "seguro" se estenderá sobre o seu nome da customadminfrente, como example.com/customadmin/mymodule/foo_bar.
    • Existe uma correção para isso com o SUPEE-6788, mas é uma configuração que você deve alterar manualmente.
  • O URL é visível na resposta XML de example.com/index.php/rss/order/NEW/new.
    • Corrigido com SUPEE-6285
  • Alguns hosts da web criam logs de acesso em áreas públicas, como example.com/access_logs. Um invasor pode examinar esses logs e descobrir URLs promissores.
  • Visitar um controlador administrativo incorretamente protegido (por exemplo example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • Corrigido com SUPEE-5994
  • Você provavelmente não percebeu o URL do download ( example.com/downloader). Embora seja seguro atrás de uma tela de login, se for violento, um invasor poderá navegar de volta ao seu URL de administrador.

A segurança através da obscuridade não é absolutamente segura. Para estar seguro, você deve proteger sua interface de administração. Isso pode ser feito com filtragem de IP, captchas, limites de taxa, etc. E, é claro, use senhas fortes. Afinal, ver a tela de login do administrador não é realmente um problema. É apenas um problema que um usuário não autorizado entra.

Steve Robbins
fonte
4
Também vale a pena mencionar: Use o Magento Guest Audit para verificar seu site. Você ficaria surpreso com o quanto revela aos visitantes. (interface web é novo, precisa de trabalho)
Steve Robbins
1
O primeiro ponto é abordado finalmente pelo SUPEE-6788. Instale-o, atualize todos os módulos que não funcionarão com ele, desative o Modo de compatibilidade de roteamento de administrador. Isso => github.com/rhoerr/supee-6788-toolbox informa quais módulos provavelmente permitirão o desvio.
Fiasco Labs
9

A realidade é que segurança por ofuscação quase nunca funciona. Suponho que nem mesmo o proteja das crianças do script.

Mas para este caso. Existem módulos de administração que usam suas próprias rotas para os URLs de administrador, não usando seu URL de administrador personalizado. Os módulos de pagamento provavelmente farão isso, por exemplo (eu encontrei 4 deles em nossa loja).

Você pode encontrar alguns no github com https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Presumo que todas as classes de controladores que não contêm _Adminhtml_sejam utilizáveis ​​para isso .

nota lateral, URL personalizado para administrador, mas não para / downloader? basta forçar um usuário administrador lá e você obtém o URL do administrador a partir daí.

Flyingmana
fonte
Muito interessante. Obrigado pela participação. Quais módulos de pagamento você está usando sem juros?
Shaughn
2
Atualmente, isso também é possível em uma instalação Magento de baunilha. Basta clicar em um determinado URL e leva você para a rota de administrador (personalizada ou não).
James Anelay - TheExtensionLab
@JamesAnelay Gostaria de compartilhar com o resto da classe?
Steve Robbins
@JamesAnelay Magento está atualmente trabalhando nisso. Eles provavelmente apreciariam não divulgar as informações.
Peter O'Callaghan
1
É melhor usar as regras de bloqueio do Web Application Firewall ou .htaccess nas funções de administrador, conexão e download do que cruzar os dedos e obscurecer. Métodos passivos como o SBO (Security by Obscurity) não têm dentes, eles cuidam de nenhum problema de segurança, apenas movem seu acesso na esperança de que você tenha sorte. É o que chamo de método de segurança da cerca de piquete; existem lacunas entre as ripas e os ataques sempre são capazes de se encaixar nessas lacunas.
Fiasco Labs