weblap admin felület elérési útvonal

Web, mail, IRC, IM, hálózatok

Érdekelne, hogy azok, akik "egyedi" weblapot üzemeltetnek (tehát nem Wordpress vagy valami CMS) az admin felületet milyen címen érik el, és hogyan védik? .htaccess, bejelentkezés, esetleg mindkettő? vagy nem is webes felület?
Itt a saját admin felületre gondolok, pl. blognál ahol a bejegyzéseket lehet írni, nem a szerver vezérlőjére.
Csak kíváncsi vagyok, hogy a támadók vajon miket próbálnak végig egy-egy ilyen támadáskor. Egy-két ötletet is szívesen látnék, hogyan lehet elrejteni a felhasználók elől.
(pl. ha nincs jogosultsága => 404 nagyon beteg ötlet?)

  • 3307 megtekintés

Es ennek mi koze van a vedelemhez?

Amugy meg hja, nyugodtan rakhatsz ra htaccess-t, pakold https-re, rakhatsz bele akar kuon login feluletet is. Megcsinalhatod hogy csak bizonyos IP cimekrol lehessen elerni, etc...
Vagy ha nagyobb vedelem kell, akkor kulon halozatra is rakhatod ceges korulmenyek kozott hogy csak belulrol legyen elerheto (ez nyilvan nem mindig megoldhato).

------------------
http://www.youtube.com/watch?v=Sf8cM7f6P2I

Nem értelek.

Már, hogy ne lenne hozzá köze.

Bár így jobban belegondolva lehet én fogalmaztam szűkszavúan, szóval: felhasználó kezeléssel, jogosultságkezeléssel és az ehhez kapcsolódó session kezeléssel megoldható a dolog (persze pár kis apró feature nem árt: pl captcha).

Olyannal egyébként, hogy írjuk át az admin elérési útját, legutoljára a PHP-Nuke-ban találkoztam. Na de arról jobb nem is beszélni.

----------------------------
http://jailhouse.blogozz.com

Az oldaladon használsz, más user/pass alapú autentikációt, az adminon kívűl? Mert ha igen, viszont az admin oldaladat nem azzal akarod "védeni", mert úgy érzed alkalmatlan rá, akkor kidobhatod az egészet a fenébe.

----------------------------
http://jailhouse.blogozz.com

Ezt meg mindig nem teljesen ertem, nem csesztetni akarlak tenyleg, de ha nem teszed kulon halozatra, akkor ne foglalkozz ezzel. Kezeld eleve ugy hogy mar meg is talaltak. Szoval erted mit akarok mondani, ha valaki be akar jutni az admin feluletedre, akkor nem az fog neki imho problemat okozni hogy a login feluletet megtalalja, hanem az hogy onnan bejusson. Ergo ne foglalkozz vele, vedd le rendesen es nem lesz gond. Az ilyen eldugom valahova tipusu cucc maximum a szomszed pistike ellen ved hogy ne porgesse az admin logint.

------------------
http://www.youtube.com/watch?v=Sf8cM7f6P2I

( nyekhere | 2010. 05. 25., k – 09:38 )

Hozzá nem értőként: szerintem amit elsőre tutira bepróbálnak, az a webcím/admin, és ha erre jön egy user/pass ablak, akkor..., tehát én nehezítésként biztos valami más címre tenném. De ez lehet, hogy csak annyit ér, mint egy ajtón a lakat mellé tett második lakat... nem vagyok otthon a témában.

( subchee | 2010. 05. 25., k – 09:50 )

Attól függ... ha php (vagy asp és hasonlók) -ban van megírva a lap, akkor session -nel, ahogy írták fentebb. Ha ettől független védelmet szeretnél, akkor a webszervert is lehet konfigurálni: https + htdigest (utóbbi jobb szvsz, mint a .htaccess).

( radix | 2010. 05. 25., k – 10:24 )

sima usernév / pass, http-n, az admin jelszót a php-ba ágyazva.

ha biztonságosabbra kérnék, még tennék bele egy captchát.

Ha mindenkepp ilyen korulmenyek kozt kell mennie, akkor a jelszot mindenkeppen hashelve tarold a PHP kodban!
(salted modon)
Esetleg a hozza tartozo usernevet is..

A kerdesfeltevonek:
Nem sokat szamit, de a PHPistikeken jot lehet nevetni, ha csinalsz egy alca admin oldalt.. mondjuk hostnev/admin cimen 2 mezo, ami mindig a hibas felhasznalo/jelszo feliratot jeleniti meg, ha elpostoljak. Plusz beirhatod a logba az idot+ip-t, es csinalhatsz statisztikat a probalkozasokrol. :)

--
-Tolthetek egy kis teat?
-Tolthetsz, de akkor seedeld is!

"Ha mindenkepp ilyen korulmenyek kozt kell mennie, akkor a jelszot mindenkeppen hashelve tarold a PHP kodban!
(salted modon)"

Na ennek aztan sok ertelme van. Mitol is veded? Ha esetleg valaki feltori a szervert es bele tud lesni a PHP kodba akkor mar regen mind1. De tegyuk fel hogy nem mind1 es mindezt csak azert tette meg mert o mindenkeppen a feluleten akar beloginolni a user neveben, ebben az esetben szted mennyire lesz neki bonyolult kiolvasni a sot is?
Amugy ezek utan megkerdeznem hogy pl a mysql vagy barmi mas DB szerver kapcsolodasi adatait hol tarolod hogy vedekezz az ellen hogy valaki megszerzi a PHP kodot magat?
Az rendben van hogy doc_root-ban csak olyan file legyen ami belepesi pont, es minden mas filet azon kivul taroljunk, de az ezen feluli "biztonsagi intezkedeseket" enyhen faszveresnek erzem.

------------------
http://www.youtube.com/watch?v=Sf8cM7f6P2I

Jogos. A saltot ki tudja olvasni, de ha a jelszo elott+utan van 20-20 byte, es torni kell, nem talalja meg nyilt, elore generalt DB-ben. A forras nem lesz sokkal hosszabb/lassabb, a torest meg vagy neheziti valamennyire, vagy megkeruli, es nem.
Ha valaki nem tori fel a servert, de a rendszergazdi a tobbi ugyfelet nem szeparalja el kellokepp, akkor lehet, hogy van olvasasi joga a PHP kododra, de irasi nincs. Ilyen esetben szamit(hat).
De elvileg a biztonsag nem arrol szol, hogy 100% legyen, hanem hogy eleg sok arkot ass ahhoz, hogy ne erje meg kuzdeni. Ez plusz 1 arok, ami vagy szamit, vagy nem, artani nem sokat arthat.

--
-Tolthetek egy kis teat?
-Tolthetsz, de akkor seedeld is!

( uid_16401 | 2010. 06. 30., sze – 15:44 )

SSL

és php-ban így:

header('WWW-Authenticate: Basic realm="Authorize requied!"');
header('HTTP/1.0 401 Unauthorized');
exit;

( cheeky v | 2010. 06. 30., sze – 16:00 )

Kulcsos VPN a szerverre, csak a VPN-ről elérhető webszerveren külön futó admin felület.
Ennyi.

És azzal mi is a probléma? A dolgok így működnek helyesen, igen.

Amúgy meg minek curl-özgetni? Nem értem. Ugyanazon a szerveren, ahol a publikus oldalad fut "A" user szerepében, van egy másik webszerver, ami "B" user szerepében fut, és az oldalad admin felületét szolgáltatja, kizárólag a VPN-en.
Tegyük fel a rend kedvéért, hogy "B" user tud írni "A" könyvtárába, ellenkező irányban viszont még az olvasás sem működik.
Az admin felülettel csinálsz amit akarsz, legenerálod az oldal részeit, és szépen beírod "A" könyvtárába a megfelelő helyekre.

Nem látom, hol kellett volna curl-höz nyúlnom a folyamat során.

( wladek1 | 2010. 06. 30., sze – 18:26 )

.htpasswd (nginxen nincs .htaccess) + ezt követően form a belépéshez.
Eddig tökéletesen elég volt.

'lekene sslje'

azenoldalamponthu

( xclusiv v | 2010. 07. 01., cs – 15:18 )

Szerintem
- minimum SSL
- ha megoldható akkor a lap csak VPN-en keresztül érhető el
- lehet netbankhoz hasonlóan SMS-es kóddal engedni a belépést
- port knocking
- lehetőleg na könnyen kitalálható (pl. lap.hu/admin)legyen, hanem random generált név
- ha megoldható ne mutasson rá link

Ennyi jutott hirtelen eszembe