SHOPLIFT-Sicherheitsanfälligkeit Wenn das Admin-Panel ausgeblendet ist?
https://magento.stackexchange.com//questions/65707
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Unter den sechs Anlagen habe ich Zugang zu einem anderen, der anscheinend von Ladlift kompromittiert wurde.Dies ist der einzige, der eine Standard-URL von /admin hat.
Nachdem Sie alle aufpassen und viele Ressourcen lesen, schätze ich, dass eine Site nicht anfällig für Shopplift ist, wenn der Angreifer die Administrator-URL nicht kennt - was der Beobachtung gut entspricht.
immer noch nicht vollständig überzeugt - vor allem nach dem Lesen der ganzen Geschichte durch Checkpoint -, also: Ist es?
das - zumindest auf den ersten Blick - kompromisslose Standorte sind auf gemeinsam genutzten Hosting ohne Shell-Zugang, daher wird jede tiefere Untersuchung ziemlich teuer sein.Daher wusste, dass der Angriff keinen Einfluss ohne Kenntnis der Admin-URL hat, wäre ein riesiger Lebensretter (/ Zeit).
ps: $ this-> frage ist!ungefähr (Sicherheit durch Dunkelheit || Die Möglichkeit des Brute zwingt die Admin-URL).
Lösung
Der Shoplifter-Tester wurde geschrieben, bevor ich entdeckt , dass es eine relativ einfache Möglichkeit gibt, den Administratornamen zu holen.
Ich habe jedoch keine Hinweise auf schwarze Hüte gesehen, die sich aktiv an nicht standardmäßige Administratornamen scannen, basierend auf den Protokollen mehrerer tausend Magento-Shops.Wenn Sie also jetzt patchen, würde ich mich nicht mit umfangreichen Forensik (abgesehen von der Überprüfung von Rogue-Benutzern) stören.
Klar, dieser Rat läuft ab, sobald Magento einen Fix für das Admin-Leck und das Wissen veröffentlicht, und das Wissen, wie man es verwendet wird, wird weit verbreitet.
Andere Tipps
Ich würde Ihre Websites immer patchen, auch wenn Sie eine andere Admin-URL haben.Es gibt eine gute Diskussion über diese Angelegenheit über in Magerhero Aber Sie sollten wirklich nicht vertrauen, dass Sie einfach Ihre Admin-URL verdecken, da es möglich ist, die URL zu erhalten oder einfach zu erraten.Sicher, es könnte einige Zeit dauern, um es zu erraten, aber es wäre es für einen Hacker wert, wenn es sich um eine nicht befindliche Site handelt.
Was Sie beziehen, ist in der IT-Sicherheitswelt als "Sicherheit durch Dunkelheit" bekannt.Der Schutz Ihres Shops aus weiteren Schwachstellen durch das Verstecken der Informationen (der Administratorpfad) wird nicht als bewährte Praxis angesehen.Obwohl es sinnvoll ist, einige Informationen zu verbergen, wird die Informationsversammlung einer der ersten Schritte angreift.
Wie in der Checkpoint Magento Analysifelability-Analyse ,Sie senden eine Anfrage an
generasacodicetagpre., das nicht den Standard oder einen anderen benutzerdefinierten Administratorpfad enthält.Aufgrund dessen würde ich davon ausgehen, dass es auch anfällbar ist (obwohl ich es nicht getestet habe).
