उन्हें मेरा कस्टम व्यवस्थापक URL कैसे मिला?

22

मेरे पास एक कस्टम व्यवस्थापक url है, फिर भी मैंने किसी को व्यवस्थापक में लॉगिन करने का प्रयास करते देखा।

मैंने इसे बदल भी दिया, और इसके तुरंत बाद अगले लॉगिन की कोशिश की गई।

यह कैसे हो सकता है, मैंने सोचा कि यह सुरक्षित है?

admin  security 
Flyingmana
स्रोत
यह अस्पष्टता के माध्यम से सुरक्षा है जो एक अच्छा अभ्यास नहीं है। इससे कोई फर्क नहीं पड़ता कि लोग तब तक आपके व्यवस्थापक URL पर लॉगिन करने का प्रयास करते हैं जब तक कि वे सफल न हों।
जॉन
कोई फर्क नहीं पड़ता कि कस्टम एडमिन यूआरएल को कितनी चतुराई से इस्तेमाल किया जाता है, यह शायद पहले इस्तेमाल किया गया है। किसी वेबसाइट को स्कैन करने के लिए एडमिन टाइप यूआरएल की एक लाइब्रेरी आसानी से उपलब्ध है। एक और सौदा करने की कोशिश करो। आपको अपने वेबसाइट बैकएंड पर काम करने वाले अपने स्थानीय स्टारबक्स में बैठने की आवश्यकता नहीं है। IP पते द्वारा सीमित करने के लिए .htaccess का उपयोग करें / व्यवस्थापक / और डाउनलोडर तक पहुंच।
फियास्को लैब्स
विलेम
2
सबसे मजेदार यह है कि कई उपयोगकर्ता इस कस्टम पथ को अपने robots.txt में डालते हैं, जैसा कि अस्वीकार करें ... और अन्य सभी लिंक / फाइलें जो मैं हमेशा robots.txt से प्राप्त करता हूं, वे ऐसा क्यों करते हैं यह मेरी कल्पना से परे है ...
दूसरा रास्ता। आउच, क्या बात थी? => magento.stackexchange.com/questions/68003/…
लैब्स

जवाबों:

16

आपके व्यवस्थापक url को उजागर करने के कुछ तरीके हैं। कुछ में शामिल हैं

  • मॉड्यूल जो गलत तरीके से व्यवस्थापक नियंत्रक बनाते हैं। किसी ज्ञात, अनुचित, व्यवस्थापक फ्रंटनाम पर जाकर लॉगिन स्क्रीन पर रीडायरेक्ट करेगा। मसलन, मारना example.com/mymodule_admin/foo/bar। एक "सुरक्षित" व्यवस्थापक नियंत्रक आपके customadminफ्रंटनाम के शीर्ष पर विस्तारित होगा , जैसे example.com/customadmin/mymodule/foo_bar
    • SUPEE-6788 के साथ इसके लिए एक फिक्स है, लेकिन यह एक सेटिंग है जिसे आपको मैन्युअल रूप से बदलना होगा।
  • URL XML प्रतिक्रिया में दिखाई दे रहा है example.com/index.php/rss/order/NEW/new
    • SUPEE-6285 के साथ फिक्स्ड
  • कुछ वेब होस्ट सार्वजनिक क्षेत्रों में एक्सेस लॉग बनाते हैं, जैसे example.com/access_logs। एक हमलावर इन लॉग को देख सकता है और होनहार यूआरएल को सूँघ सकता है।
  • अनुचित रूप से सुरक्षित व्यवस्थापक नियंत्रक (जैसे example.com/downloadable/Adminhtml_Downloadable_File/upload) का दौरा करना
    • SUPEE-5994 के साथ फिक्स्ड
  • आपने शायद डाउनलोडर url ( example.com/downloader) पर ध्यान नहीं दिया है । हालांकि यह एक लॉगिन स्क्रीन के पीछे सुरक्षित है, अगर जानवर ने मजबूर किया तो एक हमलावर आपके व्यवस्थापक यूआरएल पर वापस नेविगेट कर सकता है।

अस्पष्टता के माध्यम से सुरक्षा बिल्कुल भी सुरक्षित नहीं है। सुरक्षित होने के लिए आपको अपने व्यवस्थापक इंटरफ़ेस की सुरक्षा करनी चाहिए। यह आईपी फ़िल्टरिंग, कैप्चा, दर सीमा, आदि के साथ किया जा सकता है और, ज़ाहिर है, मजबूत पासवर्ड का उपयोग करें। आखिरकार, आपके व्यवस्थापक लॉगिन स्क्रीन को देखना वास्तव में कोई समस्या नहीं है। यह केवल एक समस्या है जो एक अनधिकृत उपयोगकर्ता को मिलती है।

स्टीव रॉबिंस
स्रोत
4
इसके अलावा उल्लेख के लायक: अपनी साइट को स्कैन करने के लिए Magento के अतिथि ऑडिट का उपयोग करें। आपको आश्चर्य होगा कि आप आगंतुकों को कितना प्रकट करते हैं। (वेब इंटरफेस नया है, काम की जरूरत है)
स्टीव रॉबिंस
1
बुलेट बिंदु एक को SUPEE-6788 द्वारा अंत में संबोधित किया गया है। इसे स्थापित करें, इसके साथ काम करने वाले किसी भी मॉड्यूल को अपग्रेड करें, व्यवस्थापक रूटिंग संगतता मोड को अक्षम करें। यह => github.com/rhoerr/supee-6788-toolbox आपको बताता है कि बाईपास की अनुमति देने के लिए कौन से मॉड्यूल की संभावना है।
फासको लैब्स
9

हकीकत यह है कि लगभग कभी काम नहीं करता है। मुझे लगता है कि यह आपको स्क्रिप्ट किडिज़ से भी नहीं बचाता है।

लेकिन इस मामले को। व्यवस्थापक यूआरएल के लिए अपने स्वयं के मार्गों का उपयोग करने वाले व्यवस्थापक मॉड्यूल हैं, आपके कस्टम व्यवस्थापक url का उपयोग नहीं कर रहे हैं। भुगतान मॉड्यूल उदाहरण के लिए ऐसा करने की संभावना है (मुझे हमारी दुकान पर उनमें से 4 मिले)।

आप के साथ GitHub पर कुछ finde कर सकते हैं https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
मुझे लगता है कि हर नियंत्रक क्लास वाली नहीं _Adminhtml_इस के लिए प्रयोग करने योग्य है ।

साइड नोट, व्यवस्थापक के लिए कस्टम url, लेकिन / डाउनलोडर के लिए नहीं? बस वहां एक व्यवस्थापक उपयोगकर्ता को क्रूरता से पेश किया जाता है, और आपको वहां से व्यवस्थापक url मिलता है।

Flyingmana
स्रोत
बहुत दिलचस्प। शेयर के लिए धन्यवाद। आप किस भुगतान मॉड्यूल का उपयोग कर रहे हैं?
शौघन
2
यह वर्तमान में एक वेनिला मैगेंटो इंस्टॉलेशन पर भी संभव है। बस एक निश्चित यूआरएल मारो और यह आपको व्यवस्थापक मार्ग (कस्टम या नहीं) पर ले जाता है।
जेम्स एनेले - TheExtensionLab
@JamesAnelay बाकी वर्ग के साथ साझा करने के लिए देखभाल?
स्टीव रॉबिन्स
@JamesAnelay Magento वर्तमान में इस पर काम कर रही है। वे शायद जानकारी नहीं फैलाने की सराहना करेंगे।
पीटर ओ'कालाघन
1
वेब एप्लिकेशन फ़ायरवॉल या .htaccess लॉकडाउन नियमों का उपयोग करना बेहतर है ताकि आप अपनी उंगलियों और अस्पष्ट को पार कर सकें। एसबीओ (सुरक्षा द्वारा अस्पष्टता) जैसे निष्क्रिय तरीकों के पास कोई दांत नहीं है, वे बिना किसी सुरक्षा के मुद्दे का ध्यान रखते हैं, बस अपनी पहुंच को इस उम्मीद में आगे बढ़ाएं कि आप भाग्यशाली हों। इसे मैं सुरक्षा की पिकेट बाड़ पद्धति कहता हूं, स्लैट्स के बीच अंतराल हैं और हमले हमेशा अंतराल के माध्यम से फिट करने में सक्षम होते हैं।
फियास्को लैब्स
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.