¿Cómo encontraron mi URL de administrador personalizada?

22

Tengo una URL de administrador personalizada, todavía vi a alguien tratando de iniciar sesión en admin.

Incluso lo cambié, y poco después se intentó el siguiente inicio de sesión.

¿Cómo podría suceder esto, pensé que es seguro?

admin  security 
Flyingmana
fuente
Esto es seguridad a través de la oscuridad, que no es una buena práctica. No importa si las personas intentan iniciar sesión en su URL de administrador siempre que no tengan éxito.
Jon
No importa cuán genéricamente genérica sea la URL de administración personalizada, probablemente se haya usado antes. Una biblioteca de URL de tipo administrador está disponible para escanear un sitio web. Cambiar de política. No necesita estar sentado en su Starbucks local trabajando en el backend de su sitio web. Use .htaccess para limitar por dirección IP el acceso a / admin y / downloader.
Fiasco Labs
Willem
2
Lo más divertido es que muchos usuarios ponen esta ruta personalizada a su robots.txt, como Disallow ... y todos los otros enlaces / archivos que siempre obtengo de robots.txt, por qué lo hacen está más allá de mi imaginación ...
De otra manera. Ouch, ¿cuál era el punto? => magento.stackexchange.com/questions/68003/…
Fiasco Labs

Respuestas:

16

Hay varias formas en que su URL de administrador puede quedar expuesta. Algunos incluyen

  • Módulos que crean incorrectamente controladores de administrador. Visitar un nombre de usuario de administrador conocido e inapropiado redirigirá a la pantalla de inicio de sesión. Por ejemplo, golpear example.com/mymodule_admin/foo/bar. Un controlador de administrador "seguro" se extenderá sobre su nombre de customadminusuario, como example.com/customadmin/mymodule/foo_bar.
    • Hay una solución para esto con SUPEE-6788, pero es una configuración que debe cambiar manualmente.
  • La URL es visible en la respuesta XML de example.com/index.php/rss/order/NEW/new.
    • Fijo con SUPEE-6285
  • Algunos servidores web crean registros de acceso en áreas públicas, como example.com/access_logs. Un atacante podría mirar a través de estos registros y detectar URL prometedoras.
  • Visitar un controlador de administrador incorrectamente protegido (p example.com/downloadable/Adminhtml_Downloadable_File/upload. Ej. )
    • Reparado con SUPEE-5994
  • Probablemente no hayas notado el descargador url ( example.com/downloader). Aunque es seguro detrás de una pantalla de inicio de sesión, si el bruto forzó a un atacante puede volver a su URL de administrador.

La seguridad a través de la oscuridad no es segura en absoluto. Para estar seguro, debe proteger su interfaz de administrador. Esto se puede hacer con filtrado de IP, captchas, límites de velocidad, etc. Y, por supuesto, use contraseñas seguras. Después de todo, ver la pantalla de inicio de sesión de administrador no es realmente un problema. Es solo un problema si entra un usuario no autorizado.

Steve Robbins
fuente
44
También vale la pena mencionar: Use Magento Guest Audit para escanear su sitio. Te sorprendería lo mucho que revelas a los visitantes. (la interfaz web es nueva, necesita trabajo)
Steve Robbins
1
El primer punto se aborda finalmente en SUPEE-6788. Instálelo, actualice los módulos que no funcionarán con él, desactive el Modo de compatibilidad de enrutamiento de administrador. Este => github.com/rhoerr/supee-6788-toolbox le indica qué módulos pueden permitir el bypass.
Fiasco Labs
9

La realidad es que la seguridad por ofuscación casi nunca funciona. Supongo que ni siquiera te protege de los script kiddies.

Pero a este caso. Hay módulos de administración que usan sus propias rutas para las URL de administración, que no usan su URL de administración personalizada. Es probable que los módulos de pago hagan esto, por ejemplo (encontré 4 de ellos en nuestra tienda).

Puede encontrar algunos en github con https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Supongo que cada clase de controlador que no contiene _Adminhtml_es utilizable para esto .

nota al margen, url personalizada para el administrador, pero no para / descargador? simplemente brutforce un usuario administrador allí, y obtendrá la URL de administrador desde allí.

Flyingmana
fuente
Muy interesante. Gracias por compartir. ¿Qué módulos de pago está utilizando fuera de interés?
Shaughn
2
Esto también es posible actualmente en una instalación de Magento de vainilla. Simplemente presione una determinada URL y lo llevará a la ruta de administración (personalizada o no).
James Anelay - TheExtensionLab
@JamesAnelay ¿Te importa compartir con el resto de la clase?
Steve Robbins,
@JamesAnelay Magento están trabajando actualmente en esto. Probablemente apreciarían no difundir la información.
Peter O'Callaghan
1
Es mejor usar un firewall de aplicaciones web o reglas de bloqueo de .htaccess contra las funciones de administrador, conexión y descarga que cruzar los dedos y oscurecer. Los métodos pasivos como SBO (Security by Obscurity) no tienen dientes, no se ocupan de ningún problema de seguridad, solo mueven su acceso con la esperanza de que tengan suerte. Es lo que yo llamo el método de seguridad de la cerca de piquete, hay espacios entre los listones y los ataques siempre pueden atravesar los espacios.
Fiasco Labs
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.