Vulnerabilidade do Shoplift se o painel de administração estiver oculto?

magento.stackexchange https://magento.stackexchange.com//questions/65707

  •  12-12-2019
  •  | 
  •  

Pergunta

Entre as seis instalações às quais tenho acesso, há uma que aparentemente foi comprometida pelo Shoplift.Este é o único que possui um padrão /admin URL de back-end.

Depois de corrigir todos eles e ler muitos recursos, acho que um site não estará vulnerável ao Shoplift se o invasor não souber o URL do administrador - o que corresponde perfeitamente à observação.

Ainda não estou totalmente convencido - especialmente depois de ler a história completa da CheckPoint -, então:é isso?

Os - pelo menos à primeira vista - sites não comprometidos estão em hospedagem compartilhada sem acesso ao shell, portanto qualquer investigação mais profunda será muito cara.Portanto, saber que o ataque não tem impacto sem o conhecimento da URL do administrador seria uma grande economia de vida (/tempo).

PS:$this->pergunta é!sobre (segurança por obscuridade || a possibilidade de força bruta na URL do administrador).

Foi útil?

Solução

O testador de shoplifter foi escrito antes de eu descoberto que há uma maneira relativamente fácil de buscar o nome do administrador.

No entanto, não vi nenhuma indicação de chapéus negros digitalizando ativamente por nomes de administradores não padrão até agora, com base nos logs de vários milhares de lojas magenas.Então, se você corre agora, eu não me incomodo com extensa forense (além de verificar os usuários desonestos).

Claramente, este conselho expira depois que o Magento publica uma correção para o vazamento de administrador e o conhecimento como usá-lo se torna generalizado.

Outras dicas

Eu sempre corrigi seus sites mesmo se você tiver um URL administrativo diferente.Há alguma boa discussão sobre este assunto em magehero Mas você realmente não deve confiar simplesmente obscurecendo seu URL de administrador, pois é possível obter o URL ou simplesmente adivinhar.Certifique-se de que poderia levar algum tempo para adivinhar, mas valeria a pena para um hacker se for um site não marcado.

Patch simples e simples Todos os seus sites, também altere o URL do administrador Não é prejudicado para ter isso também e, em seguida, talvez considere limitar seu administrador via IP, mas isso pode causar problemas para as pessoas que acessam o administrador de fora do escritório.

.

O que você está se referindo é conhecido como "Segurança por Obscuridade" no mundo da segurança de TI.Proteger sua loja de outras vulnerabilidades ocultando algumas informações (o caminho do administrador) não é considerado uma boa prática.Embora faça sentido ocultar algumas informações, a coleta de informações será um dos primeiros passos que os invasores tomarão.

Como mostrado no Análise de vulnerabilidade do CheckPoint Magento, eles estão enviando uma solicitação para 

GET /index.php/downloadable/Adminhtml_Downloadable_File/ HTTP/1.1

que não contém o caminho de administração padrão ou qualquer outro caminho de administração personalizado.Devido a isso, presumo que também seja vulnerável (embora não tenha testado).

Licenciado em: CC-BY-SA com atribuição
Não afiliado a magento.stackexchange
scroll top