Vulnerabilità della tacchetta se il pannello di amministrazione è nascosto?

Question

Tra le sei installazioni ho accesso a quella che è stata apparentemente compromessa dal tagno.Questo è l'unico che ha un URL di backend standard /admin.

Dopo aver patching tutti e leggendo molte risorse, immagino che un sito non sia vulnerabile a tacchettare se l'attaccante non conosca l'URL dell'Amministratore - che corrisponde bene solo all'osservazione.

ancora non completamente convinto - specialmente dopo aver letto la storia completa tramite checkpoint -, però, quindi: è?

Il - almeno a prima vista - i siti senza compromessi sono su hosting condiviso senza accesso a shell, quindi qualsiasi indagine più profonda sarà piuttosto costosa.Quindi sapendo che l'attacco non ha alcun impatto senza conoscenza dell'URL di amministratore sarebbe un risparmio di vita enorme (/ tempo).

PS: $ This-> Domanda è!circa (sicurezza dall'oscurità || La possibilità di Brute Forzando l'URL dell'Amministratore).

Answer 1

Il tester di Shoplifter è stato scritto prima di I scoperto che esiste un modo relativamente semplice per recuperare il nome dell'amministratore.

Tuttavia, non ho visto alcuna indicazione di cappelli neri che scansiona attivamente per i nomi di amministratori non standard finora, in base ai registri di diversi migliaia di negozi magenti.Quindi, se patch adesso, non mi preoccuperei di ampia forense (a parte il controllo degli utenti di Rogue).

Chiaramente, questo consiglio scade una volta che Magento pubblica una correzione per la perdita di amministrazione e la conoscenza come usarlo diventa diffuso.

Answer 2

Avrei sempre patchare i tuoi siti anche se hai un URL di amministratore diverso.C'è una buona discussione su questa questione su magehero Ma non dovresti davvero confidare semplicemente oscurando il tuo URL di amministratore in quanto è possibile ottenere l'URL o semplicemente indovinare.Certo che potrebbe richiedere del tempo per indovinare, ma ne valeva la pena per un hacker se è un sito non partching.

Punta semplice e semplice Tutti i tuoi siti, modificano anche l'URL di amministratore che non danneggia per averlo anche questo e quindi consideri la possibilità di limitare il tuo amministratore tramite IP, ma ciò potrebbe causare problemi per le persone che accedono all'amministratore dall'esterno dell'ufficio.

.

Answer 3

Quello che ti riferisci è noto come "sicurezza per oscurità" nel mondo della sicurezza IT.Proteggere il tuo negozio da ulteriori vulnerabilità nascondendo alcune informazioni (il percorso amministratore) non è considerato come buone pratiche.Anche se ha senso nascondere alcune informazioni, la raccolta delle informazioni sarà uno dei primi passi gli attaccanti lo faranno.

Come mostrato in Checkpoint Magento Vulnerability Analysis ,stanno inviando una richiesta a

GET /index.php/downloadable/Adminhtml_Downloadable_File/ HTTP/1.1

.

che non contiene lo standard o qualsiasi altro percorso di amministrazione personalizzato.A causa di ciò, presumerei che sia anche vulnerabile (anche se non l'ho testato).