Eu tenho um URL de administrador personalizado, ainda vi alguém tentando fazer login no administrador.
Eu até mudei e logo após o próximo login ser tentado.
Como isso pôde acontecer, achei seguro?
Eu tenho um URL de administrador personalizado, ainda vi alguém tentando fazer login no administrador.
Eu até mudei e logo após o próximo login ser tentado.
Como isso pôde acontecer, achei seguro?
Respostas:
Existem várias maneiras de expor seu URL de administrador. Alguns incluem
example.com/mymodule_admin/foo/bar
. Um controlador de administração "seguro" se estenderá sobre o seu nome da customadmin
frente, como example.com/customadmin/mymodule/foo_bar
.
example.com/index.php/rss/order/NEW/new
.
example.com/access_logs
. Um invasor pode examinar esses logs e descobrir URLs promissores.example.com/downloadable/Adminhtml_Downloadable_File/upload
)
example.com/downloader
). Embora seja seguro atrás de uma tela de login, se for violento, um invasor poderá navegar de volta ao seu URL de administrador.A segurança através da obscuridade não é absolutamente segura. Para estar seguro, você deve proteger sua interface de administração. Isso pode ser feito com filtragem de IP, captchas, limites de taxa, etc. E, é claro, use senhas fortes. Afinal, ver a tela de login do administrador não é realmente um problema. É apenas um problema que um usuário não autorizado entra.
A realidade é que segurança por ofuscação quase nunca funciona. Suponho que nem mesmo o proteja das crianças do script.
Mas para este caso. Existem módulos de administração que usam suas próprias rotas para os URLs de administrador, não usando seu URL de administrador personalizado. Os módulos de pagamento provavelmente farão isso, por exemplo (eu encontrei 4 deles em nossa loja).
Você pode encontrar alguns no github com https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
Presumo que todas as classes de controladores que não contêm _Adminhtml_
sejam utilizáveis para isso .
nota lateral, URL personalizado para administrador, mas não para / downloader? basta forçar um usuário administrador lá e você obtém o URL do administrador a partir daí.
Uma coisa muito legal é quando ela aparece no similarweb.com porque você usa um plug-in de navegador falador ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- você / )