তারা কীভাবে আমার কাস্টম অ্যাডমিন URL খুঁজে পেয়েছে?

আমার একটি কাস্টম অ্যাডমিন ইউআরএল আছে, এখনও আমি দেখেছি কেউ অ্যাডমিনে লগইন করতে চেষ্টা করছে।

এমনকি আমি এটি পরিবর্তন করেছি এবং তার পরের লগইনটির চেষ্টা করা হয়েছিল।

এটি কীভাবে ঘটবে, আমি ভেবেছিলাম এটি নিরাপদ?

আপনার অ্যাডমিন ইউআরএল উন্মুক্ত করার কয়েকটি উপায় রয়েছে। কিছু অন্তর্ভুক্ত

• মডিউলগুলি যা ভুলভাবে অ্যাডমিন কন্ট্রোলার তৈরি করে। একটি জ্ঞাত, অনুচিত, অ্যাডমিন সামনের নামটি দেখার ফলে লগইন স্ক্রিনে পুনর্নির্দেশ হবে। উদাহরণস্বরূপ, আঘাত করা example.com/mymodule_admin/foo/bar। একটি "নিরাপদ" প্রশাসক নিয়ামক আপনার customadminসামনের নামটির উপরে যেমন প্রসারিত হবে example.com/customadmin/mymodule/foo_bar।
  • SUPEE-6788 এর সাথে এটির জন্য একটি স্থিরতা রয়েছে, তবে এটি আপনাকে ম্যানুয়ালি পরিবর্তন করতে হবে setting
• এর এক্সএমএল প্রতিক্রিয়াতে URL টি দৃশ্যমান example.com/index.php/rss/order/NEW/new।
  • SUPEE-6285 এর সাথে স্থির
• কিছু ওয়েব হোস্ট জনসাধারণের ক্ষেত্রে অ্যাক্সেস লগ তৈরি করে example.com/access_logs। একজন আক্রমণকারী এই লগগুলি সন্ধান করতে পারে এবং প্রতিশ্রুতিবদ্ধ ইউআরএলগুলি স্নিগ্ধ করতে পারে।
• একটি অনুপযুক্ত সুরক্ষিত প্রশাসক নিয়ন্ত্রক (দর্শনীয় example.com/downloadable/Adminhtml_Downloadable_File/upload) এর সাথে দেখা করা
  • SUPEE-5994 দিয়ে স্থির
• আপনি সম্ভবত ডাউনলোডার ইউআরএল ( example.com/downloader) লক্ষ্য করেন নি । যদিও এটি লগইন স্ক্রিনের পিছনে নিরাপদ, যদি নিষ্ঠুরদের আক্রমণ করতে বাধ্য করা হয় তবে আক্রমণকারী আপনার অ্যাডমিন url এ ফিরে যেতে পারে।

অস্পষ্টতার মাধ্যমে সুরক্ষা মোটেই নিরাপদ নয়। নিরাপদ থাকতে আপনার প্রশাসক ইন্টারফেসটি রক্ষা করা উচিত। এটি আইপি ফিল্টারিং, ক্যাপচা, রেট সীমা ইত্যাদি দ্বারা করা যেতে পারে এবং অবশ্যই শক্তিশালী পাসওয়ার্ড ব্যবহার করুন। সর্বোপরি, আপনার অ্যাডমিন লগইন স্ক্রিনটি দেখতে আসলে কোনও সমস্যা নয়। এটি কেবল একটি সমস্যা হ'ল কোনও অননুমোদিত ব্যবহারকারীর প্রবেশ।

বাস্তবতা হ'ল, অবহেলা করে সুরক্ষা প্রায় কখনই কার্যকর হয় না। আমি ধরে নিয়েছি এটি এমনকি স্ক্রিপ্ট কিডিস থেকে আপনাকে রক্ষা করে না।

তবে এই ক্ষেত্রে। অ্যাডমিন ইউআরএলগুলির জন্য নিজস্ব রুটগুলি ব্যবহার করে প্রশাসক মডিউলগুলি রয়েছে, আপনার কাস্টম অ্যাডমিন ইউআরএল ব্যবহার করছে না। অর্থ প্রদানের মডিউলগুলি উদাহরণস্বরূপ এটি করতে পারে (আমি তাদের মধ্যে 4 টি আমাদের দোকানে পেয়েছি)।

আপনার সাথে GitHub কিছু finde করতে https://github.com/search?p=1&q=AdminController+%22extends+Mage_Adminhtml_Controller_Action%22&ref=searchresults&type=Code&utf8=%E2%9C%93
আমি অনুমান যে নিয়ামক বর্গ ধারণকারী না _Adminhtml_এই জন্য উপভোগ্য ।

পার্শ্ব নোট, অ্যাডমিনের জন্য কাস্টম url, তবে / ডাউনলোডারের জন্য নয়? কেবল সেখানে একজন প্রশাসক ব্যবহারকারীকে শক্তিশালী করুন এবং আপনি সেখান থেকে প্রশাসকের url পান।

কারণ আপনি একটি অবাঞ্ছিত ব্রাউজার-প্ল্যাগ ইন ব্যবহার যখন এটি similarweb.com প্রদর্শিত একটি খুব সুন্দর এক ... ( http://www.howtogeek.com/180175/warning-your-browser-extensions-are-spying-on- আপনি / )