Найти админку в кмс

Discussion in 'Песочница' started by оlbaneс, 28 Nov 2020.

  1. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,378
    Likes Received:
    1,095
    Reputations:
    356
    Сломал голову как спрятать админку. Гуглеж не дал нужного решения. Есть сайт на полупопулярной кмс. Юзер имеет права обычные, модер, админ. Админ может входить в админку кмс прямо с сайта.
    А админка прямо реально админка - удаление и редактирование всего, в том числе и денежного баланса пользователей.
    Вопрос - как спрятать вход в админку? Как получать права админа находясь на сайте? Можно было бы привязать к айпи, но айпи динамика. Железо тоже может изменится.
    Рассматривал вариант, что под моим логином видно какой-то раздел, в этом разделе если нажать комбинацию клавиш, то появляется окно ввода пароля и входишь в даминку. Но такой вариант мне кажется дурацким. Обосновать не могу, но так кажется.
    Не нашел ничего лучше как спросить у специалистов.
    Специалисты, посоветуйте, пожалуйста.
    Спасибо.
     
    _________________________
    Spinus likes this.
  2. smirk

    smirk Elder - Старейшина

    Joined:
    8 Sep 2011
    Messages:
    137
    Likes Received:
    43
    Reputations:
    26
    С какой целью прятать, от брута или что?
    Не стандартная пара логин:пароль и бан по кол-во не правильных попыток авторизации. Можно еще капчу повесить, но лучше уж тогда двухфакторку реализовать
     
    tkaramel and Baskin-Robbins like this.
  3. Spinus

    Spinus Level 8

    Joined:
    23 Sep 2018
    Messages:
    506
    Likes Received:
    2,931
    Reputations:
    12
    Попробуй другую сетку для соединения и тунель конечно же с привязкой по маку. У нас так сделано сервак по тунелю и привязкой по маку. Пока взломов не было.
     
    fandor9 and seostock like this.
  4. Baskin-Robbins

    Baskin-Robbins Reservists Of Antichat

    Joined:
    15 Sep 2018
    Messages:
    239
    Likes Received:
    809
    Reputations:
    212
    Вообще не редкость наверное в CMS вход в админку только от конкретного юзера, т.е. в админку попасть
    можно либо залогинившись от админа например и тогда появляется раздел админки, либо тоже самое
    но с двумя паролями, первый на пользователя, второй на админку. Второй соответсвенно по секурней будет.

    Второй момент - это путь до админки, т.е. как скрыть ее. Тут два возможных варианта решения мне видится,
    суть в принципе одна, но реализация немного разная:
    -- рандомное имя админки + проверка на юзера. /my_super_adminka8909898908.php и если пинг не от админа
    редирект на index. Ну и желательно чтобы все редиректило на index, ну или куда хочешь, но на одну страницу.

    -- тут тоже самое, только юзаем request_uri. Панель входа в админку появляется только при определенном пути,
    например domain.com/admin_super_puper_2020/ - ну имя соответсвенно тож рандом. Можно открыть доступ(панель входа)
    только при наличии нескольких определенных параметрах - domain.com/admin/param1/param2/

    И в первом и во втором случае никаких ссылок, вкладочек, менюшек и тд на админку не ведет.
    Сидеть угадывать admin.php administrator.php и тд можно очень долго.
    Путь сохраняешь себе + два пароля. Дешево и сердито:)

    Плюс привязка к ip, железу не спасут от атак типа csrf, csrf via xss.
    А используя один из вариантов выше, такое сложнее провернуть.
    Дополнительно отсутсвие пути к админке в бд, например прописана только в конфиге,
    потенциальная скуля даст пассы(которые еще пробрутить нужно), но не даст пути к админке
    если не можем читать через нее, уязвимости типа file read дадут path, но одного его мало ...
    Если рандомное имя скрипта админки - то и читалка не поможет в доступе к админке.
    Вобщем жизнь усложнит нормально я думаю.
     
    #4 Baskin-Robbins, 29 Nov 2020
    Last edited: 29 Nov 2020
    dmax0fw, smirk, crlf and 4 others like this.
  5. оlbaneс

    оlbaneс Moderator

    Joined:
    5 Nov 2007
    Messages:
    1,378
    Likes Received:
    1,095
    Reputations:
    356
    Админку то я спрятал с дефолтных путей, первым делом. Я сталкивался на практике когда умельцы нашли какую то дырку некритичную, и если ответить на сообщение на сайте, то крались документ.куки и чел получал в том случае админские куки. Поэтому и ищу какое то изящное решение. Оно точно должно быть.
     
    _________________________
  6. Baskin-Robbins

    Baskin-Robbins Reservists Of Antichat

    Joined:
    15 Sep 2018
    Messages:
    239
    Likes Received:
    809
    Reputations:
    212
    1) куки в httponly

    2) Делаешь админа простым юзером. Даже если произойдет кража сессии, кук
    атакующий с этим сможет сделать почти столько же, сколько просто зарегавшись
    на сайте, кроме обмана юзеров от имени админа. Путь к админке он не знает, и если
    то так и не узнает.

    3) Выставляем две куки, первую для юзеров
    cms_user=bwhfywugfsnbvhd
    Вторую cms_admin=asfdegfrsgrshgrth для доступа в админку
    Читай сообщения от юзера, пиши - атакующий получит куки юзера с ником админ.
    Зашел в админку, сделал свои дела, вышел.

    И этого будет достаточно, просто тут надо обратить внимание не на то, к чему ее привязать,
    как спрятать и тд - а на поиск багов. Привяжи к железу, ip, спрячь ее - stored xss в имени пользователя
    например работающая из админки - и не важно к чему что привязано и как спрятано.
     
    Spinus and crlf like this.
  7. crlf

    crlf Green member

    Joined:
    18 Mar 2016
    Messages:
    683
    Likes Received:
    1,513
    Reputations:
    460
    По моему, если проект серьзный, читай денежный, то проще заказать модуль для многофакторной аутентификации через какой нибудь auth0. И пусть атакер хоть в лепёху расшибётся, ничего путного сделать, даже с пассом на руках, не сможет. Если CMS популярная, то скорее всего уже существуют плагины с таким функционалом.
     
    aberkroft, Spinus and Baskin-Robbins like this.
  8. aberkroft

    aberkroft Member

    Joined:
    9 Feb 2020
    Messages:
    43
    Likes Received:
    14
    Reputations:
    3
    + за готовую многофакторную аутентификацию из предыдущей реплики

    Если хочется поизвращаться - можно добавить скрытую авторизацию по дополнительному ключ-признаку (например, наличие нестандартного header в запросе на авторизацию, без которой все вводимые данные считаются неправильными)
     
  9. 1n0y

    1n0y Active Member

    Joined:
    9 May 2009
    Messages:
    276
    Likes Received:
    282
    Reputations:
    2
    deleted
     
    #9 1n0y, 25 Dec 2020
    Last edited: 17 Dec 2021
    #colorblind likes this.
  10. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,170
    Likes Received:
    1,155
    Reputations:
    202
    Доступ по IP, и нефиг сидеть в админке с левых сетей и мобильных телефонов на фри вайфае. Стукни в пм может чем помогу. Могу сервак поглядеть на дырявость ну и всю вашу архитектуру.
     
  11. tkaramel

    tkaramel New Member

    Joined:
    17 Jul 2015
    Messages:
    20
    Likes Received:
    0
    Reputations:
    0
    Привязывать сессию авторизации к ip, с которого логинился.
    Сменился ip - переввел пароль.