Comment ont-ils trouvé mon URL d'administration personnalisée?

22

J'ai une URL d'administration personnalisée, j'ai quand même vu quelqu'un essayer de se connecter à l'administrateur.

Je l'ai même changé et peu de temps après, la prochaine connexion a été tentée.

Comment cela pourrait-il arriver, je pensais que c'était sûr?

admin security Flyingmana
la source
C'est la sécurité par l'obscurité qui n'est pas une bonne pratique. Peu importe si les gens essaient de se connecter à votre URL d'administration tant qu'ils ne réussissent pas.
Jon
Peu importe la façon générique avec laquelle l'URL d'administration personnalisée, elle a probablement été utilisée auparavant. Une bibliothèque d'URL de type administrateur est facilement disponible pour analyser un site Web. Essayez une autre tactique. Vous n'avez pas besoin d'être assis dans votre Starbucks local pour travailler sur le backend de votre site Web. Utilisez .htaccess pour limiter par adresse IP l'accès à / admin et / downloader.
Fiasco Labs
Voir aussi magehero.com/posts/886/…
Willem
2
le plus drôle est que de nombreux utilisateurs mettent ce chemin personnalisé vers leur robots.txt, comme Disallow ... et tous les autres liens / fichiers que je reçois toujours de robots.txt, pourquoi ils le font est au-delà de mon imagination ...
Autrement. Aïe, quel était le point? => magento.stackexchange.com/questions/68003/…
Fiasco Labs

Réponses:

16

Il existe plusieurs façons d'exposer votre URL d'administration. Certains incluent

  • Modules qui créent incorrectement des contrôleurs d'administration. Si vous visitez un nom d'utilisateur connu et incorrect, l'administrateur redirigera vers l'écran de connexion. Par exemple, frapper example.com/mymodule_admin/foo/bar. Un contrôleur d'administration "sûr" s'étendra au-dessus de votre customadminnom, comme example.com/customadmin/mymodule/foo_bar.
    • Il existe un correctif pour cela avec SUPEE-6788, mais c'est un paramètre que vous devez modifier manuellement.
  • L'URL est visible dans la réponse XML de example.com/index.php/rss/order/NEW/new.
    • Fixé avec SUPEE-6285
  • Certains hébergeurs Web créent des journaux d'accès dans les espaces publics, comme example.com/access_logs. Un attaquant pourrait parcourir ces journaux et détecter les URL prometteuses.
  • Visiter un contrôleur d'administration mal sécurisé (par exemple example.com/downloadable/Adminhtml_Downloadable_File/upload)
    • Fixé avec SUPEE-5994
  • Vous n'avez probablement pas remarqué l'url du téléchargeur ( example.com/downloader). Bien qu'il soit en sécurité derrière un écran de connexion, si une brute est forcée, un attaquant peut revenir à votre URL d'administration.

La sécurité par l'obscurité n'est pas du tout sécurisée. Pour être sûr, vous devez protéger votre interface d'administration. Cela peut être fait avec le filtrage IP, les captchas, les limites de débit, etc. Et, bien sûr, utilisez des mots de passe forts. Après tout, voir votre écran de connexion administrateur n'est pas vraiment un problème. Ce n'est qu'un problème lorsqu'un utilisateur non autorisé entre.

Steve Robbins
la source
4
À noter également: utilisez Magento Guest Audit pour analyser votre site. Vous seriez surpris de voir combien vous révélez aux visiteurs. (l'interface web est nouvelle, a besoin de travaux)
Steve Robbins
1
Le premier point est enfin traité par SUPEE-6788. Installez-le, mettez à niveau tous les modules qui ne fonctionneront pas avec lui, désactivez le mode de compatibilité de routage administrateur. This => github.com/rhoerr/supee-6788-toolbox vous indique quels modules sont susceptibles d'autoriser le contournement.
Fiasco Labs,
9

La réalité est que la sécurité par obscurcissement ne fonctionne presque jamais. Je suppose que cela ne vous protège même pas des script kiddies.

Mais dans ce cas. Il existe des modules d'administration utilisant leurs propres routes pour les URL d'administration, et non pas votre URL d'administration personnalisée. Les modules de paiement sont susceptibles de le faire par exemple (j'en ai trouvé 4 dans notre boutique).

Vous pouvez en trouver sur github avec https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Je suppose que chaque classe de contrôleur ne contenant pas _Adminhtml_est utilisable pour cela .

note latérale, URL personnalisée pour l'administrateur, mais pas pour / downloader? il suffit de forcer un utilisateur administrateur là-bas, et vous obtenez l'url d'administration à partir de là.

Flyingmana
la source
Vraiment intéressant. Merci pour le partage. Quels modules de paiement utilisez-vous par intérêt?
Shaughn
2
Cela est également possible actuellement sur une installation vanilla Magento. Il vous suffit d'appuyer sur une certaine URL pour accéder à la route d'administration (personnalisée ou non).
James Anelay - TheExtensionLab
@JamesAnelay Vous souhaitez partager avec le reste de la classe?
Steve Robbins
@JamesAnelay Magento y travaille actuellement. Ils apprécieraient probablement de ne pas diffuser l'information.
Peter O'Callaghan
1
Il est préférable d'utiliser un pare-feu d'application Web ou des règles de verrouillage .htaccess contre les fonctions d'administration, de connexion et de téléchargement que de croiser les doigts et d'obscurcir. Les méthodes passives comme SBO (Security by Obscurity) n'ont pas de dents, elles ne s'occupent d'aucun problème de sécurité, déplacez simplement son accès dans l'espoir d'avoir de la chance. C'est ce que j'appelle la méthode de sécurité des piquets de grève, il y a des écarts entre les lattes et les attaques peuvent toujours passer à travers les écarts.
Fiasco Labs du