如果管理面板被隐藏,商店扒窃漏洞?
https://magento.stackexchange.com//questions/65707
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
在我可以访问的六个装置中,有一个显然是被商店扒窃破坏的。这是唯一一个有标准的 /admin 后端url。
在修补了所有这些并阅读了许多资源之后,我想如果攻击者不知道管理URL,那么网站就不容易受到商店扒窃-这与观察结果相对应。
仍然没有完全相信-特别是在通过检查点阅读完整的故事之后-,但是,所以:是吗?
这些-至少在第一眼看到-不妥协的网站是在没有shell访问的共享主机上,因此任何更深入的调查都将非常昂贵。因此,如果不知道管理URL,知道攻击没有影响将是一个巨大的生命(/时间)节省。
PS:$这个->问题是!关于(通过默默无闻的安全性//暴力强制管理URL的可能性)。
解决方案
扒手测试仪是在我之前写的 发现 有一个相对简单的方法来获取管理员名称。
但是,根据几千家Magento商店的日志,到目前为止,我还没有看到任何黑帽积极扫描非标准管理员名称的迹象。所以如果你现在修补,我不会打扰广泛的取证(除了检查流氓用户)。
显然,一旦Magento发布了管理泄漏的修复程序,以及如何使用它的知识变得广泛,这个建议就会过期。
其他提示
即使您有不同的管理url,我也会始终修补您的网站。在这个问题上有一些很好的讨论 马盖罗 但是你真的不应该相信简单地掩盖你的管理url,因为它可以得到url或只是猜测它。当然,它可能需要一些时间来猜测它,但如果它是一个未修补的网站,那么对于黑客来说是值得的。
简单明了的补丁你所有的网站,也改变管理url它不会伤害有这个也,然后也许考虑限制您的管理员通过ip,但这可能会导致问题的人访问管理从办公室外。
您所指的是在IT安全领域被称为"默默无闻的安全"。通过隐藏一些信息(管理路径)来保护您的商店免受进一步的漏洞,这并不被认为是一个好的做法。尽管隐藏一些信息是有意义的,但信息收集将是攻击者首先要做的步骤之一。
如图所示 检查点Magento漏洞分析, ,他们正在向
GET /index.php/downloadable/Adminhtml_Downloadable_File/ HTTP/1.1
不包含标准或任何其他自定义管理路径。因此,我认为它也很脆弱(尽管我没有测试它)。
