Сломал голову как спрятать админку. Гуглеж не дал нужного решения. Есть сайт на полупопулярной кмс. Юзер имеет права обычные, модер, админ. Админ может входить в админку кмс прямо с сайта.

А админка прямо реально админка - удаление и редактирование всего, в том числе и денежного баланса пользователей.

Вопрос - как спрятать вход в админку? Как получать права админа находясь на сайте? Можно было бы привязать к айпи, но айпи динамика. Железо тоже может изменится.

Рассматривал вариант, что под моим логином видно какой-то раздел, в этом разделе если нажать комбинацию клавиш, то появляется окно ввода пароля и входишь в даминку. Но такой вариант мне кажется дурацким. Обосновать не могу, но так кажется.

Не нашел ничего лучше как спросить у специалистов.

Специалисты, посоветуйте, пожалуйста.

Спасибо.

С какой целью прятать, от брута или что?

Не стандартная пара логин:пароль и бан по кол-во не правильных попыток авторизации. Можно еще капчу повесить, но лучше уж тогда двухфакторку реализовать

оlbaneс said:
↑ (https://antichat.live/posts/4432242/)
Сломал голову как спрятать админку. Гуглеж не дал нужного решения. Есть сайт на полупопулярной кмс. Юзер имеет права обычные, модер, админ. Админ может входить в админку кмс прямо с сайта.
А админка прямо реально админка - удаление и редактирование всего, в том числе и денежного баланса пользователей.
Вопрос - как спрятать вход в админку? Как получать права админа находясь на сайте? Можно было бы привязать к айпи, но айпи динамика. Железо тоже может изменится.
Рассматривал вариант, что под моим логином видно какой-то раздел, в этом разделе если нажать комбинацию клавиш, то появляется окно ввода пароля и входишь в даминку. Но такой вариант мне кажется дурацким. Обосновать не могу, но так кажется.
Не нашел ничего лучше как спросить у специалистов.
Специалисты, посоветуйте, пожалуйста.
Спасибо.


Попробуй другую сетку для соединения и тунель конечно же с привязкой по маку. У нас так сделано сервак по тунелю и привязкой по маку. Пока взломов не было.

оlbaneс said:
↑ (https://antichat.live/posts/4432242/)
Рассматривал вариант, что под моим логином видно какой-то раздел, в этом разделе если нажать комбинацию клавиш, то появляется окно ввода пароля и входишь в даминку. Но такой вариант мне кажется дурацким. Обосновать не могу, но так кажется.


Вообще не редкость наверное в CMS вход в админку только от конкретного юзера, т.е. в админку попасть

можно либо залогинившись от админа например и тогда появляется раздел админки, либо тоже самое

но с двумя паролями, первый на пользователя, второй на админку. Второй соответсвенно по секурней будет.

Второй момент - это путь до админки, т.е. как скрыть ее. Тут два возможных варианта решения мне видится,

суть в принципе одна, но реализация немного разная:

-- рандомное имя админки + проверка на юзера. /my_super_adminka8909898908.php и если пинг не от админа

редирект на index. Ну и желательно чтобы все редиректило на index, ну или куда хочешь, но на одну страницу.

-- тут тоже самое, только юзаем request_uri. Панель входа в админку появляется только при определенном пути,

например domain.com/admin_super_puper_2020/ - ну имя соответсвенно тож рандом. Можно открыть доступ(панель входа)

только при наличии нескольких определенных параметрах - domain.com/admin/param1/param2/

И в первом и во втором случае никаких ссылок, вкладочек, менюшек и тд на админку не ведет.

Сидеть угадывать admin.php administrator.php и тд можно очень долго.

Путь сохраняешь себе + два пароля. Дешево и сердито

Плюс привязка к ip, железу не спасут от атак типа csrf, csrf via xss.

А используя один из вариантов выше, такое сложнее провернуть.

Дополнительно отсутсвие пути к админке в бд, например прописана только в конфиге,

потенциальная скуля даст пассы(которые еще пробрутить нужно), но не даст пути к админке

если не можем читать через нее, уязвимости типа file read дадут path, но одного его мало ...

Если рандомное имя скрипта админки - то и читалка не поможет в доступе к админке.

Вобщем жизнь усложнит нормально я думаю.

Админку то я спрятал с дефолтных путей, первым делом. Я сталкивался на практике когда умельцы нашли какую то дырку некритичную, и если ответить на сообщение на сайте, то крались документ.куки и чел получал в том случае админские куки. Поэтому и ищу какое то изящное решение. Оно точно должно быть.

1) куки в httponly

2) Делаешь админа простым юзером. Даже если произойдет кража сессии, кук

атакующий с этим сможет сделать почти столько же, сколько просто зарегавшись

на сайте, кроме обмана юзеров от имени админа. Путь к админке он не знает, и если


Baskin-Robbins said:
↑ (https://antichat.live/posts/4432279/)
никаких ссылок, вкладочек, менюшек и тд на админку не ведет.


то так и не узнает.

3) Выставляем две куки, первую для юзеров

cms_user=bwhfywugfsnbvhd

Вторую cms_admin=asfdegfrsgrshgrth для доступа в админку

Читай сообщения от юзера, пиши - атакующий получит куки юзера с ником админ.

Зашел в админку, сделал свои дела, вышел.

И этого будет достаточно, просто тут надо обратить внимание не на то, к чему ее привязать,

как спрятать и тд - а на поиск багов. Привяжи к железу, ip, спрячь ее - stored xss в имени пользователя

например работающая из админки - и не важно к чему что привязано и как спрятано.

По моему, если проект серьзный, читай денежный, то проще заказать модуль для многофакторной аутентификации через какой нибудь auth0. И пусть атакер хоть в лепёху расшибётся, ничего путного сделать, даже с пассом на руках, не сможет. Если CMS популярная, то скорее всего уже существуют плагины с таким функционалом.

+ за готовую многофакторную аутентификацию из предыдущей реплики

Если хочется поизвращаться - можно добавить скрытую авторизацию по дополнительному ключ-признаку (например, наличие нестандартного header в запросе на авторизацию, без которой все вводимые данные считаются неправильными)

deleted

Доступ по IP, и нефиг сидеть в админке с левых сетей и мобильных телефонов на фри вайфае. Стукни в пм может чем помогу. Могу сервак поглядеть на дырявость ну и всю вашу архитектуру.

оlbaneс said:
↑ (https://antichat.live/posts/4432446/)
Я сталкивался на практике когда умельцы нашли какую то дырку некритичную, и если ответить на сообщение на сайте, то крались документ.куки и чел получал в том случае админские куки.


Привязывать сессию авторизации к ip, с которого логинился.

Сменился ip - переввел пароль.