내 맞춤 관리자 URL은 어떻게 찾습니까?

사용자 지정 관리자 URL이 있는데 여전히 관리자로 로그인하려는 사람이 있습니다.

나는 심지어 그것을 바꾸었고 다음 로그인 시도 직후에.

어떻게 이런 일이 일어날 수 있다고 생각합니까?

관리 URL이 노출 될 수있는 몇 가지 방법이 있습니다. 일부는 포함

• 관리 컨트롤러를 잘못 만드는 모듈. 알려지지 않은 부적절한 관리자 이름을 방문 하면 로그인 화면으로 리디렉션됩니다. 예를 들어, 타격 example.com/mymodule_admin/foo/bar. A "안전"관리 컨트롤러는 위에 확장 할 것 customadmin같은, frontname example.com/customadmin/mymodule/foo_bar.
  • SUPEE-6788에 대한 수정 사항이 있지만 수동으로 변경해야하는 설정입니다.
• URL은의 XML 응답에 표시 example.com/index.php/rss/order/NEW/new됩니다.
  • SUPEE-6285로 고정
• 일부 웹 호스트는와 같은 공용 영역에서 액세스 로그를 만듭니다 example.com/access_logs. 공격자는 이러한 로그를 살펴보고 유망한 URL을 스니핑 할 수 있습니다.
• 잘못 보안 관리 컨트롤러를 방문 (예 example.com/downloadable/Adminhtml_Downloadable_File/upload)
  • SUPEE-5994로 수정 됨
• 다운로더 URL ( example.com/downloader) 을 보지 못했을 것입니다 . 로그인 화면 뒤에는 안전하지만 무차별 대입 공격자는 관리자 URL로 다시 이동할 수 있습니다.

모호성을 통한 보안은 전혀 안전하지 않습니다. 안전을 위해 관리자 인터페이스를 보호해야합니다. IP 필터링, 보안 문자, 속도 제한 등을 사용하여 수행 할 수 있습니다. 물론 강력한 암호를 사용하십시오. 결국, 관리자 로그인 화면을 보는 것은 실제로 문제가되지 않습니다. 권한이없는 사용자가 들어오는 문제입니다.

실제로, 난독 화에 의한 보안은 거의 작동하지 않습니다. 나는 그것이 스크립트 키디로부터 당신을 보호하지 못한다고 가정합니다.

그러나이 경우에. 사용자 지정 관리 URL을 사용하지 않고 관리 URL에 대한 자체 경로를 사용하는 관리 모듈이 있습니다. 지불 모듈은 예를 들어이 작업을 수행 할 가능성이 있습니다 (저희 가게에서 4 개를 찾았습니다).

https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93 github에서 일부를 찾을 수 있습니다.
포함하지 않은 모든 컨트롤러 클래스 _Adminhtml_를 사용할 수 있다고 가정 합니다 .

참고 사항, 관리자 용 맞춤 URL이지만 / downloader 용은 아닙니다. 거기에서 관리자를 brutforce하면 거기에서 관리자 URL을 얻습니다.

chatty browser-plugin ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- 당신 / )