Сайт

Как зайти в админ панель сайта: инструкция по входу в систему управления контентом

26.03.1988

Содержание

Как зайти в админ панель сайта на joomla

Вход в админку Joomla: как попасть в панель управления

Для тех, кто не знает панель управления сайтом или панель администратора – это специальный закрытый раздел системы управления контентом, который позволяет управлять содержимым всего сайта в целом. То есть, применительно к Joomla, данный раздел позволяет: выполнять различные настройки, добавлять, редактировать и удалять контент, настраивать пункты меню, работать с пользователями, создавать и отображать в необходимых позициях модули, настраивать внешний вид сайта, путем выбора шаблонов, а так же расширять функционал CMS путем установки сторонних расширений — компонентов, модулей или плагинов.

При этом, как было сказано выше, в джумла вход в админку разрешен только авторизированным пользователям и, при условии ,что у них есть соответствующие права. То есть, если пользователь авторизовался в системе, то это не значит, что он может войти в админку, так как у него может не быть на это прав. При этом, в зависимости от прав пользователя, в админке могут быть закрыты определенные элементы управления. То есть, если у пользователя нет прав на создание и редактирование материалов, то данные действия будут запрещены для выполнения от его имени и соответствующие элементы так же будут не доступны. Таким образом, в зависимости от прав пользователя, внешний вид панели администратора будет меняться.

Соответственно, если без панели администратора сайт на CMS Joomla создать не возможно, значит, возникает вопрос — как войти в административную панель Joomla.

Для входа в панель администратора Joomla, необходимо к адресу сайта дописать строку “/administrator”. То есть, если адрес Вашего сайта – domen.ru, то для входа в админку Вы должны перейти по адресу — domen.ru /administrator.

Далее, необходимо авторизоваться и, если у Вас есть соответствующие права, Вы получите доступ. Ссылка на панель администратора так же отображается сразу после завершения установки CMS.

Теперь Вы знаете, как войти в админку joomla, но предложенные стандартные способы могут не сработать на чужом сайте, потому как очень часто разработчики сайтов скрывают стандартный путь панели администратора из соображений безопасности, используя различные сторонние расширения. Так как на странице авторизации, злоумышленник может организовать перебор пароля, особенно если ему известен логин администратора. И если пароль достаточно простой, что не редко бывает, он сможет через некоторое время зайти в админку джумлы, что крайне нежелательно.

Как зайти в админку joomla?

Как и любая другая CMS, Джумла имеет свою собственную административную панель. Из которой администратор управляет сайтом. То есть добавляет материалы, подключает те или иные плагины, размещает рекламу и так далее.

В общем все изменения которые можно внести в сайт, производятся из административной панели. Для того, что бы войти в нее в браузерной строке необходимо ввести следующий адрес: http://Ваш сайт/administrator.

Вход в админку джумла

Пройдя по указанному адресу, перед Вами открывается форма регистрации. В нее необходимо ввести логин и пароль. Эти данные Вы должны были сохранить при установке самой оoomla.

Что хочется сказать по поводу безопасности Вашего сайта? При установке джумлы, не стоит оставлять логин администратора по умолчанию «admin». Желательно ставить свой , уникальный логин.

Так как это очень распространенная CMS, то взломщики сайтов начинают подбираться к Вашей админке именно со стандартного логина и адреса админ панели.

Что касается адреса, самой панели то его желательно так же скрыть. Для этого существует множество плагинов, например: Admin Tools от известного разработчика плагина для создания резервных копий Akeeba Backup. Кстати тоже очень полезное расширение.

Ну и наконец пароль. Сразу скажу, не стоит указывать в качестве пароля какие либо даты, простые слова или просто набор цифр. Есть специальные скрипты, которые вскрывают такие пароли, на раз два.

Лучше всего генерировать пароли и сохранять их в надежном месте. Тут я могу посоветовать, небольшую бесплатную программу SCARABAY (Скарабей). Это очень удобный менеджер паролей.

Кстати, если после просмотра урока кликнуть по ссылке Ютуба на плеере, можно перейти на мой канал и там в описании есть ссылка на эту программу.

Ну Вот пожалуй и все, что я хотел рассказать в этой маленькой статье. Если возникли какие то вопросы? Задавайте их в комментариях, я постараюсь помочь.

Как зайти в панель управления сайта cms Joomla v.3.x

Обычно этот элементарный вопрос появляется у пользователей, которые только начинают своё знакомство с cms Joomla! Или: после продолжительного перерыва в работе с сайтом вполне реально «забыть» путь к джумловской админ-панели.

Времени с момента создания первых версий Joomla! прошло очень много. А вот вход в админ-панель практически и не изменился. Все — просто: в адресной строке браузера к адресу вашего сайта через слеш добавить слово administrator, чтобы получилось:

Нажав на кнопку «Переход на следующую страницу» в браузере (или Enter на клавиатуре) переместимся на страницу авторизации административной панели управления с формой:

Понятно, что в текстовые поля необходимо ввести ваши Логин, Пароль, Язык (при не очевидном выборе языка по умолчанию, обычно язык выбирать не нужно) после чего нажать кнопку «Войти».

Предполагается, что Логин и Пароль у вас есть (назначены при инсталляции CMS) или их вам предоставил ваш веб-мастер (который сделал ваш сайт). Если пароль утерян: пробуем его восстановить (обычно помогает).

Если на вашем компьютере «поселился» троян-похититель паролей (не каждый антивирус его обнаружит), то последствия могут быть неприятные.

Полезно периодически менять пароль на новый (генерация случайного пароля) длиной 15 символов (пусть такая длина и параноидальна, зато более надежна).

Собственно — вы в Панели управления сайта. В зависимости от назначенной веб-мастером вашему аккаунту Группы пользователей и соответствующих группе прав — страница Админ-панели будет иметь различный вид. Максимальные возможности имеет Super Administrator.

Если Панель управления длительное время неактивно (т. е. открыл и ушел курить), то через некоторое время придется авторизоваться снова. Время «неактивного» нахождения в админ-панели сайта назначает Администратор.

Единственной принципиальной особенностью входа в Панель управления является функция:

Общие настройки -> Настройки сессии -> Общие сессии

При включении этой функции сессия Пользователя одновременно используется в Панели управления и в веб-интерфейсе сайта. Это удобно, в ранних версиях Джумла! приходилось дважды проходить авторизацию: в Панели управления и на Сайте.

Добавить комментарий

Для комментирования материалов регистрация на сайте не нужна. Правила публикации: наличие здравого смысла. Спам удаляется, спамерам: бан по ip навсегда. Email комментаторов не публикуется.

Как зайти в админку джумла

Как зайти в админку (админпанель) Joomla 3

После того, как Joomla установлена, можно и нужно создавать контент, полезный для пользователей сайта. А для этого требуется управление. Управление контентом сайта осуществляется через панель администратора сайта (админка). Если развёртывание дистрибутива Joomla на сервере произошло без ошибок, то вход в аминку черезвычайно прост и не требует каких-то специальных знаний.

URL адрес Панели администратора сайта (админки) Joomla 3

Для того, чтобы зайти в админку сайта на Joomla достаточно дописать к доменному имени сайта в адресной строке браузера слово administrator и перейти по этому URL в админпанель.

Вход в Панель администратора сайта (админку) Joomla 3

В итоге попадаем на форму ввода логина и пароля администратора (которые конечно были введены при установке Joomla):

Внешний вид главной страницы Панели администратора сайта (админки) Joomla 3

Если правильно ввести логин и пароль аминистратора сайта, то откроется собственно аминка Joomla:

Как зайти в панель управления сайта cms Joomla v.3.x

Обычно этот элементарный вопрос появляется у пользователей, которые только начинают своё знакомство с cms Joomla! Или: после продолжительного перерыва в работе с сайтом вполне реально «забыть» путь к джумловской админ-панели.

Времени с момента создания первых версий Joomla! прошло очень много. А вот вход в админ-панель практически и не изменился. Все — просто: в адресной строке браузера к адресу вашего сайта через слеш добавить слово administrator, чтобы получилось:

Нажав на кнопку «Переход на следующую страницу» в браузере (или Enter на клавиатуре) переместимся на страницу авторизации административной панели управления с формой:

Понятно, что в текстовые поля необходимо ввести ваши Логин, Пароль, Язык (при не очевидном выборе языка по умолчанию, обычно язык выбирать не нужно) после чего нажать кнопку «Войти».

Предполагается, что Логин и Пароль у вас есть (назначены при инсталляции CMS) или их вам предоставил ваш веб-мастер (который сделал ваш сайт). Если пароль утерян: пробуем его восстановить (обычно помогает).

Если на вашем компьютере «поселился» троян-похититель паролей (не каждый антивирус его обнаружит), то последствия могут быть неприятные.

Полезно периодически менять пароль на новый (генерация случайного пароля) длиной 15 символов (пусть такая длина и параноидальна, зато более надежна).

Собственно — вы в Панели управления сайта. В зависимости от назначенной веб-мастером вашему аккаунту Группы пользователей и соответствующих группе прав — страница Админ-панели будет иметь различный вид. Максимальные возможности имеет Super Administrator.

Если Панель управления длительное время неактивно (т. е. открыл и ушел курить), то через некоторое время придется авторизоваться снова. Время «неактивного» нахождения в админ-панели сайта назначает Администратор.

Единственной принципиальной особенностью входа в Панель управления является функция:

Общие настройки -> Настройки сессии -> Общие сессии

При включении этой функции сессия Пользователя одновременно используется в Панели управления и в веб-интерфейсе сайта. Это удобно, в ранних версиях Джумла! приходилось дважды проходить авторизацию: в Панели управления и на Сайте.

Как зайти в админку joomla?

Как и любая другая CMS, Джумла имеет свою собственную административную панель. Из которой администратор управляет сайтом. То есть добавляет материалы, подключает те или иные плагины, размещает рекламу и так далее.

В общем все изменения которые можно внести в сайт, производятся из административной панели. Для того, что бы войти в нее в браузерной строке необходимо ввести следующий адрес: http://Ваш сайт/administrator.

Вход в админку джумла

Пройдя по указанному адресу, перед Вами открывается форма регистрации. В нее необходимо ввести логин и пароль. Эти данные Вы должны были сохранить при установке самой оoomla.

Что хочется сказать по поводу безопасности Вашего сайта? При установке джумлы, не стоит оставлять логин администратора по умолчанию «admin». Желательно ставить свой , уникальный логин.

Так как это очень распространенная CMS, то взломщики сайтов начинают подбираться к Вашей админке именно со стандартного логина и адреса админ панели.

Что касается адреса, самой панели то его желательно так же скрыть. Для этого существует множество плагинов, например: Admin Tools от известного разработчика плагина для создания резервных копий Akeeba Backup. Кстати тоже очень полезное расширение.

Ну и наконец пароль. Сразу скажу, не стоит указывать в качестве пароля какие либо даты, простые слова или просто набор цифр. Есть специальные скрипты, которые вскрывают такие пароли, на раз два.

Лучше всего генерировать пароли и сохранять их в надежном месте. Тут я могу посоветовать, небольшую бесплатную программу SCARABAY (Скарабей). Это очень удобный менеджер паролей.

Кстати, если после просмотра урока кликнуть по ссылке Ютуба на плеере, можно перейти на мой канал и там в описании есть ссылка на эту программу.

Ну Вот пожалуй и все, что я хотел рассказать в этой маленькой статье. Если возникли какие то вопросы? Задавайте их в комментариях, я постараюсь помочь.

Как зайти в админ панель modx

Знакомство с админ панелью MODX Revolution

Прежде всего необходимо войти в панель управления сайтом (её еще часто называют админ-панелью или админкой сайта). Для этого в браузерной строке к адресу сайта добавляем /manager и переходим по получившемуся адресу.

Пример: адрес нашего сайта: site.ru. Значит адрес входа будет: site.ru/manager

После перезагрузки страницы мы увидим следующее окно.

Необходимо ввести логин и пароль от панели управления и нажать кнопку войти. Небольшая хитрость: в нижней левой части экрана вы увидите переключатель языков. Этот язык будет использоваться в дальнейшем в панели администратора. В дальнейшем язык можно будет поменять в системных настройках, но прежде всего рекомендую использовать родной для вас язык, чтобы не тратить время на перевод пунктов.

После входа мы видим следующую картину.

Разберем по порядку все пункты, которые обозначены красными прямоугольниками.

1) Логотип cms, название сайта (вверху, по умолчанию это строка modx Revolution) его можно поменять в системных настройках на то, которое вам необходимо. Будет отображаться также при входе в админ-панель сайта. Далее идет указатель версии панели и поиск по ней.

2) Навигационное меню. Подробнее разберем его дальше.

3) Информация об авторизованном пользователе.

4) Меню системных настроек.

5) Вкладка ресурсы. Содержит все имеющиеся страницы на сайте.

6) Вкладка элементы. Содержит в себе всю техническую часть сайта.

7) Вкладка файлы.

8) Проверка конфигурации. Выдает советы и выводит информацию о сайте.

9) Канал информационных новостей. Можно изменить в системных настройках и выводить ту информацию, которая необходима.

10) Список недавно измененных страниц сайта.

11) Список авторизованных в данный момент пользователей.

Теперь подробнее рассмотрим верхнее меню и возможности, которые оно дает.

Пункт содержимое включает в себя такие пункты как:

  • Новый ресурс. Как видно из названия, создает новую страницу на сайте.
  • Перейти на сайт. В новой вкладке открывает главную страницу сайта.
  • Импорт HTML. Импортирует данные из файлов html в базу данных сайта. Для начала работы необходимо поместить данные в папку core/import
  • Импорт ресурсов. Аналогично позволяет импортировать ресурсы из статических файлов в базу данных. Это могут быть различные файлы и папки.
  • Группы ресурсов. Группирует различные ресурсы по какому-либо выбранному или заданному самостоятельно признаку.
  • Типы содержимого. Управление расширением файлов. Можно использовать как стандартные, так и самостоятельно задавать необходимые расширения файлов (MODX будет добавлять расширение файла после псевдонима, если включены дружественные URL).

Пункт медиа.

Отвечает за работу с файлами на сайте: как загрузка, так и различные действия над файлами.

  • Управление медиа. Непосредственное управление файлами.
  • Источники файлов. Позволяет создавать различные источники файлов.

Пункт приложения содержит в себе установщик приложений (о нем подробнее в следующей статье) и те приложения, которые вы установили на своем сайте и которые выводят/обрабатывают какую-либо информацию. Например заявки (например Formit) или инофрмацию о покупателях интернет-магазина (для примера minishop 2).

Пункт управление.

Содержит в себе различные настройки, отвечающие за работу сайта. Пойдем по порядку.

  • Пользователи. Дает возможность управлять зарегистрированными пользователями, наделять их определенными правами доступа.
  • Очистить кеш. Удаляет весь текущий кеш сайта. Подпункт дает возможность обновить url-адреса на сайте.
  • Снять блокировки. Снимает все ограничения на редактирование страниц и кода.
  • Перезагрузить права доступа. Сбрасывает все существующие политики доступа к сайту и меняет их на другие. Необходимо это действие например для массового исправления правил для пользователей.
  • Завершить все сеансы. Закрывает все авторизации пользователей. Необходимо например для создания базы данных на сайте.
  • Отчеты. Содержит различные отчеты о системе: расписание сайта, журнал системы управления, журнал ошибок и информацию о системе. Они необходимы для получения тех или иных данных, выводе ошибок или иных данных. Например, последний пункт выводит все данные о конфигурации системы, а журнал ошибок ведет историю всех ошибок, возникающих в системе. Если на сайте некорректно работает та или иная функция, то стоит обратить внимание именно на этот журнал, чтобы узнать причину.

Что касается следующего пункта, то там все просто: дается информация о текущем пользователе, его сообщениях и возможность выйти из панели управления сайтом.

Подробнее остановимся на следующем пункте, который обозначен иконкой шестеренки.

В этом пункте содержится множество настроек для сайта. Прежде всего важен пункт «системные настройки». Он дает доступ к изменению тех то иных параметров сайта.

Поскольку это обзорная статья, то рассписывать весь функционал смысла нет, тем более, что каждый из пунктов тянет на отдельную статью. Более подробно с каждым из пунктов смотрите в блоке функционала модэкса.

Админка Modx — Руководство пользования (Инструкция)

Необходимо перейти по адресу админки сайта (вида www.site.ru/manager/) , ввести логин и пароль:

Введите ваши данные для входа: логин и пароль.

2. Админка Modx

3. Дерево документов — страницы сайта в админке

Для редактирования необходимой страницы на сайте нужно выбрать соответствующий документ в дереве документов.

Пример: хотим отредактировать раздел «О компании». Для этого нажимаем на соответствующий документ в дереве документов сайта.

В рабочей области админки откроется страница редактирования документа «О компании».

Вы можете изменить информацию в тексте страницы,

после внесения изменений обязательно нужно нажать кнопку «Сохранить», чтобы изменения вступили в силу.

5. Добавление картинок в текст

открывается окно «Параметры изображения»

выбираем картинку с сервера

  1. Выбираем папку
  2. Выбираем изображение
  3. Нажимаем ОК

Далее переходим к настройке отображение картинки на странице

выбирая нужные параметры (выравнивание, верт. отступ, гориз. отступ, граница), мы видим как будет отображаться картинка на странице,
пример (картинка отображается справа, с каждого края отступ 10px)

далее нажимаем «Вставить» и «Сохранить».

Обновляем страницу в браузере (нажать Ctrl и F5) и смотрим внесенные изменения.

Авторизация в админке MODEX

Добрый день У меня сайт реализованный на CMS MODX atomilova.ru. Проблема в том, что я не могу войти в административную часть сайта по адресу http://tomilova.ru/manager/ При введении верных логина и пароля система не пускает в админку, но и не выдает никакой ошибки. Как мне попасть в админку сайта?

  • Теги:

Anton Safonov
09.10.13 в 17:10

Комментарии (4)

Ребят, зря вы навалились на человека, насколько я понял, он вроде администратора сайта (доверенное лицо хозяйки сайта, если точнее), поэтому неудивительно, что он не знает точное название.

Евгений, ему, скорее всего обновляться сходу ненужно, у него версия Revo достаточно старая (2. 0.4 максимум), поэтому наверняка чтото отлетит, нужно на локалке вначале проверить, тем более, что он сам, скорее всего не сможет быстро исправить, если не получится.

Для добавления комментариев вы должны авторизоваться или зарегистрироваться.

Как войти в админку разных CMS

Большинство сайтов созданы на платформе какой-либо CMS. Системы управления контентом различаются встроенными функциями, возможностями их расширения и способом входа в панель управления, где происходят практически все операции как по публикации страниц веб-ресурса, так и по настройке их отображения.

Если вход осуществляется с компьютера, откуда производилось развертывание CMS, пользователь обычно обращается к ранее сохраненной в избранном ссылке. В большинстве случаев даже логин и пароль подставляются автоматически, и владельцу не приходится задумываться о нюансах открытия панели.

Как войти в админку WordPress

При первом входе понадобится получить прямую ссылку на админку или ввести ее адрес вручную. Понятно, что предварительно стоит определить тип CMS, например, сервисом 2IP или iTrack. При сомнениях (иногда эти ресурсы глючат) лучше уточнить название системы у владельца сайта.

Запуск панели управления WordPress происходит после добавления к имени домена приставки /wp-admin. Если авторизация пользователя происходит в первый раз, система перекидывает на страницу https://название-сайта/wp-login.php. При установке галочки «Запомнить меня» пароль сохраняется в памяти браузера, и при последующем входе будет достаточно лишь подтвердить данные.

Потерянный пароль можно восстановить – ссылка для этого приходит на почту владельца после нажатия на кнопку «Забыли пароль?».

Важно учитывать, что стандартный путь администратор иногда меняет в целях безопасности. Тогда придется запрашивать прямую ссылку у владельца или подбирать вариант самостоятельно. Часто в этом помогает открытие файла robots.txt: служебные каталоги, которые закрываются от индексации, прописаны здесь «прямым текстом».

Войти в админку MODX

Путь, заданный «по умолчанию» для CMS MODX обоих релизов (Evo и Revo), содержит приставку с названием системного каталога – https://домен/manager/. По желанию администратора он меняется на любой другой, чтобы злоумышленникам было сложнее проникнуть в систему. Если это так, придется обращаться за прямой ссылкой.

Здесь также работают функции сохранения учетных данных в памяти браузера и восстановления забытого пароля. Первая активируется установкой галочки «Запомнить меня», вторая – нажатием на пункт «Забыли свое имя пользователя». После клика открывается дополнительное поле, куда нужно ввести логин или email администратора, указанный при разворачивании CMS.

Выяснить нестандартный путь входа позволит изучение файла /core/config/config.inc.php. В строке $MODX_manager_url= ‘/адрес входа в админку/’; указан каталог, используемый фактически. Чтобы «провернуть» такой фокус с CMS, понадобится доступ к панели управления хостинга или к серверу через протокол FTP.

Как войти в админку Drupal

Система управления контентом Drupal сразу после развертывания также предлагает стандартную ссылку для входа в админку. Но в этой CMS функции регистрации, входа и восстановления пароля разделены (выделены отдельные URL). Их отображение зависит от выбранного раздела.

В Drupal работают пути:

  1. /user – пользователь ранее авторизовался, логин и пароль сохранены в памяти.
  2. /user/login – автоматическая авторизация не удалась, нужно ввести данные вручную.
  3. /user/register – регистрация нового пользователя, если доступ для этого открыт.
  4. /user/password – восстановление пароля через электронную почту администратора.

После входа в систему иногда возникают трудности с отображением меню. В этом случае поможет прямое указание пути к административному разделу /admin. Важно учитывать, что пользователь, логин которого указывается, должен иметь соответствующие права внутри CMS, иначе придется обращаться к владельцу для настройки доступа.

Войти в админку Joomla

Стандартный вход в админку в Joomla производится по прямой ссылке https://домен/administrator. По умолчанию логин в этой CMS устанавливается как ADMIN, но этот момент лучше уточнить у владельца сайта (возможно, имя пользователя было заменено на другое). В отличие от остальных систем, здесь есть возможность выбрать язык интерфейса.

Забытый пароль восстанавливается традиционно – через электронную почту администратора, куда приходит ссылка для сброса защиты. После нажатия на нее происходит перенаправление на страницу, где предлагается ввести новый пароль (дважды, для подтверждения правильности). После нажатия кнопки «Сохранить» остается заново перейти на ссылку админки и зайти в нее.

Admin-Scanner — Найдите панель администратора любого веб-сайта с помощью пользовательского списка слов

Администратор или администраторы — это роль с наивысшими привилегиями или наивысшим уровнем доступа к вашему веб-сайту или домену. Администраторы могут добавлять контент на все страницы и получать доступ ко всем элементам на указанной панели инструментов администратора или странице, что означает, что администраторы могут контролировать общие настройки, такие как дизайн веб-сайтов туров или конфигурация базы данных. Администраторы могут добавлять и удалять других пользователей-администраторов, а также одобрять или отклонять изменения других пользователей в домене.

Примечание: Убедитесь, что в вашей системе установлен Python, поскольку Admin-Scanner — это инструмент на основе Python. Нажмите, чтобы установить: шаги установки Python в Linux

Что такое Admin-Scanner Tool?

Admin-Scanner — это автоматизированный скрипт на языке Python, который может обнаруживать страницы администрирования в целевом домене. Если вы злоумышленник и пытаетесь проникнуть в домен, эти страницы администратора могут вам помочь. Если вы обнаружите какую-либо неправильно настроенную страницу администратора, вы можете легко стать администратором домена и внести изменения по своему выбору. Инструмент Admin-Scanner предоставляет вам встроенные списки слов, которые перебираются в целевом домене для обнаружения страниц администратора.

Возможности Admin-Scanner Tool

  1. Admin-Scanner имеет открытый исходный код и может использоваться бесплатно.
  2. Admin-Scanner — это инструмент на основе языка Python.
  3. Admin-Scanner — это автоматизированный инструмент для поиска страниц администратора.
  4. Admin-Scanner позволяет настраивать и использовать списки слов.
  5. Admin-Scanner предоставляет функцию установки значения потока для эффективного использования.
  6. Admin-Scanner прост в использовании.

Доступны флажки или метки

  1. -site Указание URL целевого домена
  2. –proxy <протокол>— Сканирование панели администратора с использованием прокси-сервера
  3. –t Задержка сканирования потока (для предотвращения получения HTTP 508)
  4. –w Предоставление пользовательских списков слов.

Установка Admin-Scanner Tool в ОС Kali Linux

Шаг 1: Проверьте, установлена ​​ли среда Python или нет, используйте следующую команду.

 python 

Шаг 2: Запустите терминал Kali Linux и перейдите на рабочий стол с помощью следующей команды.

 cd Рабочий стол 

Шаг 3: Теперь вы находитесь на рабочем столе, создайте новый каталог с именем Admin-Scanner, используя следующую команду. В этом каталоге мы завершим установку инструмента Admin-Scanner.

 mkdir Admin-Scanner 

Шаг 4: Теперь переключитесь в каталог Admin-Scanner с помощью следующей команды.

 cd Admin-Scanner 

Шаг 5: Теперь вам нужно установить инструмент. Вы должны клонировать инструмент из Github.

 git clone https://github.com/alienwhatever/Admin-Scanner.git 

Шаг 6: Инструмент успешно загружен в каталог Admin-Scanner. Теперь перечислите содержимое инструмента, используя приведенную ниже команду.

 ls 

Шаг 7: Вы можете заметить, что существует новый каталог, созданный инструментом Admin-Scanner, который был создан во время установки инструмента. Теперь перейдите в этот каталог с помощью следующей команды:

 cd Admin-Scanner 

Шаг 8: Еще раз, чтобы обнаружить содержимое инструмента, используйте приведенную ниже команду.

 ls 

Шаг 9: Теперь мы закончили нашу установку. Используйте приведенную ниже команду, чтобы просмотреть справку (дает лучшее понимание инструмента) указатель инструмента.

 python3 scan.py 

Работа с Admin-Scanner Tool

Пример 1: Простое сканирование (один домен)

 python3 scan.py -site https://geeksforgeeks.org  1.900 In например, мы обнаруживаем панели администратора или веб-страницы администратора в одном целевом домене, которым является geeksforgeeks. org. 

2. На приведенном ниже снимке экрана мы пытаемся получить доступ к одной из админ-панелей geeksforgeeks.org/superuser, но получаем сообщение «Отказано в доступе», это означает, что только администратор имеет доступ к этой панели

 

Пример 2: Использование задержки для сканирования потока

 python3 scan.py -site https://geeksforgeeks.org --t 1 

для потока для сканирования с использованием тега –t.

Пример 3: Несколько целевых доменов

 python3 scan.py -site https://geeksforgeeks.org https://google.com 

целевые домены. На приведенном ниже снимке экрана нашими целями являются geeksforgeeks.org и google.com. Итак, сначала мы получим админ-панели geeksforgeeks.org.

2. На приведенном ниже снимке экрана мы получаем администратора для нашего следующего целевого домена, т. е. google.com

Пример 4: Использование пользовательских списков слов

 python3 scan. py -site https:// geeksforgeeks.org --w custom_wordlist 

1. В этом примере мы будем использовать наш собственный список слов для сканирования панели администратора. Итак, на скриншоте ниже у нас есть текстовый файл с именем custom_wordlist.txt, который мы будем использовать для сканирования с помощью тега –w.

2. На приведенном ниже снимке экрана мы видим, что страницы администратора обнаруживаются путем перебора custom_wordlist.txt, который мы указали с помощью тега –w.

Найти скрытую страницу администратора любого веб-сайта

Много раз при запуске сканирования любого URL-адреса, чтобы найти его уязвимости. Пентестеры или исследователи безопасности пытаются найти страницу администратора. Попадание на любую страницу администратора любого веб-сайта является критической уязвимостью для любого веб-сайта. Потому что злоумышленники могут запускать атаки с захватом сеанса или использовать методы грубой силы для кражи учетных данных для входа на страницу администратора. Разработчики часто забывают пропатчить панель администратора. По словам исследователя этического взлома Международного института кибербезопасности, в последнее время появилось много уязвимостей, которые перенаправляют конечных пользователей в панели администратора. Мы покажем способ найти страницу администратора любого веб-сайта.

  • Для тестирования мы будем использовать Kali Linux 2018.4 amd64 . Открыть тип терминала GIT клон https://github.com/michyamrane/okadminfinder3.git
  • Тип CD Okadminfinder3/
  • RUN LS
  • TYPE CMOD U+X Требования
  • Type LS
  • Type
  • Type -ltr
 root@kali:/home/iicybersecurity/Downloads#  git clone https://github.
com/mIcHyAmRaNe/okadminfinder3.git
Клонирование в okadminfinder3… удаленный: Перечисление объектов: 264, сделано. удаленный: всего 264 (дельта 0), повторно используется 0 (дельта 0), повторно используется пакетом 264 Получение объектов: 100% (264/264), 231,98 КиБ | 293,00 КиБ/с, готово. Разрешение дельт: 100% (139/139), выполнено. root@kali:/home/iicybersecurity/Downloads# cd okadminfinder3/ root@kali:/home/iicybersecurity/Downloads/okadminfinder3# ls Классы ЛИЦЕНЗИЯ LinkFile okadminfinder.py README.md requirements.txt root@kali:/home/iicybersecurity/Downloads/okadminfinder3# chmod u+x requirements.txt root@kali:/home/iicybersecurity/Downloads/okadminfinder3#
ls -ltr
всего 48 -rwxr--r-- 1 корень корень 77 2 января 01:54 требования.txt -rw-r--r-- 1 root root 3598 2 янв 01:54 README.md -rwxr-xr-x 1 root root 18022 2 января 01:54 okadminfinder.py drwxr-xr-x 2 root root 4096 2 января 01:54 LinkFile -rw-r--r-- 1 root root 11347 2 января 01:54 ЛИЦЕНЗИЯ drwxr-xr-x 3 root root 4096 2 января 01:54 Классы
  • Тип pip3 install -r требования. txt
 root@kali:/home/iicybersecurity/Downloads/okadminfinder3# 
pip3 install -r требования .txt
Сбор colorama==0.4.1 (из -r requirements.txt (строка 1)) Загрузка https://files.pythonhosted.org/packages/4f/a6/728666f39bfff1719fc94c481890b2106837da9318031f71a8424b662e12/colorama-0.4.1-py2.py3-none-any.whl Сбор запросов == 2.21.0 (из -r requirements.txt (строка 2)) Ошибка десериализации записи кэша, запись игнорируется Загрузка https://files.pythonhosted.org/packages/7d/e3/20f3d364d6c8e5d2353c72a67778eb189176f08e873c9900e10c0287b84b/requests-2.21.0-py2.py3-none-any.whl (57kB) 100% |████████████████████████████████| 61кБ 81кБ/с Требование уже выполнено: PySocks==1.6.8 в /usr/lib/python3/dist-packages (из -r requirements.txt (строка 3)) (1.6.8) Требование уже выполнено: argparse==1.4.0 в /usr/local/lib/python3.7/dist-packages (из -r requirements.txt (строка 4)) (1.4.0) Требование уже выполнено: tqdm==4.31.1 в /usr/local/lib/python3.
7/dist-packages (из -r requirements.txt (строка 5)) (4.31.1) Требование уже выполнено: idna<2.9,>=2.5 в /usr/lib/python3/dist-packages (из request==2.21.0->-r requirements.txt (строка 2)) (2.6) Требование уже выполнено: certifi>=2017.4.17 в /usr/lib/python3/dist-packages (из request==2.21.0->-r requirements.txt (строка 2)) (2018.8.24) Требование уже выполнено: chardet<3.1.0,>=3.0.2 в /usr/lib/python3/dist-packages (из request==2.21.0->
-r requirements.txt (строка 2)) (3.0.4 ) Требование уже выполнено: urllib3<1.25,>=1.21.1 в /usr/lib/python3/dist-packages (из request==2.21.0->-r requirements.txt (строка 2)) (1.22) Установка собранных пакетов: colorama, request Найдена существующая установка: colorama 0.3.9Удаление colorama-0.3.9: Успешно удалено colorama-0.3.9 Найдена существующая установка: запросы 2.22.0 Удаление запросов-2.22.0: Успешно удалены запросы-2.22.0 Успешно установлено colorama-0.4.1 Requests-2.21.0
  • Введите
 ____ __ __ __ _ _______ __
    / __ \/ //_/___ _____/ /___ ___ (_)___ / ____(_)___ ____/ /__ _____
   // / / ,< / __ `/ __ / __ `__ \/ / __ \/ /_ / / __ \/ __ / _ \/ ___/
  / /_/ / /| / /_/ / /_/ / / / / / / / / / / __/ / / / / / /_/ / __/ /
  \____/_/ |_\__,_/\__,_/_/ /_/ /_/_/_/ /_/_/ /_/_/ /_/\__,_/\___/ _/
     версия 2.
5.3, созданная О. Коледой и переписанная МИХИ АМРАНЕМ
 использование: okadminfinder.py [-h] [-u URL] [-t] [-p PROXY] [-rp] [-r] [-v] [-U] [-i]
 необязательные аргументы:
   -h, --help показать это справочное сообщение и выйти
   -u URL-адрес, --url URL-адрес Целевой URL-адрес (например, «www.example.com» или «example.com»)
   -t, --tor Использовать анонимную сеть Tor
   -p ПРОКСИ, --proxy ПРОКСИ Использовать HTTP-прокси (например, '127.0.0.1:8080')
   -rp, --random-proxy Использовать случайно выбранный прокси-сервер
   -r, --random-agent Использовать случайно выбранный User-Agent
   -v, --verbose Показать больше информации
   -U, --update Обновить OKadminFinder
   -i, --interactive Интерактивный интерфейс[другие аргументы не требуются] 
  • Введите ./okadminfinder.py -u testphp.vulnweb.com
  • Testphp.vulnweb.com — это обычный веб-сайт для тестирования. Используется для запуска различных сканирований.
  • Вы также можете использовать прокси или службу TOR для сокрытия вашей личности.
  • Введите ./okadminfinder.py -u testphp.vulnweb.com ИЛИ введите ./okadminfinder.py -r -u testphp.vulnweb.com
  • -r используется для случайного пользовательского агента.
  • -u используется для целевого URL. Целевой URL-адрес: testphp.vulnweb.com
 root@kali:/home/iicybersecurity/Downloads/okadminfinder3#  ./okadminfinder.py -u testphp.vulnweb.com  
 ____ __ __ __ _ _______ __
    / __ \/ //_/___ _____/ /___ ___ (_)___ / ____(_)___ ____/ /__ _____
   // / / ,< / __ `/ __ / __ `__ \/ / __ \/ /_ / / __ \/ __ / _ \/ ___/
  / /_/ / /| / /_/ / /_/ / / / / / / / / / / __/ / / / / / /_/ / __/ /
  \____/_/ |_\__,_/\__,_/_/ /_/ /_/_/_/ /_/_/ /_/_/ /_/\__,_/\___/ _/
     версия 2.5.3, созданная О. Коледой и переписанная МИХИ АМРАНЕМ 
 Сайт testphp.vulnweb.com работает стабильно
 Обработка…: 0%| |0/574
     [✔] http://testphp.vulnweb.com/admin/ Страница администратора найдена!
 Обработка…: 1%|▉ |7/574
     [✔] http://testphp. vulnweb.com/login.php Страница администратора найдена! 
  • Выше показана страница администратора testphp.vulnweb.com
страница администратора testphp.vulnweb.com
  • Выше вы можете обратиться к странице администратора сайта.
  • Попробуем на других сайтах.
  • Введите ./okadminfinder.py -u www.arifhabib.com.pk
  • -u используется для целевого URL. Целевой URL — www.arifhabib.com.pk
 root@kali:/home/iicybersecurity/Downloads/okadminfinder3#  ./okadminfinder.py -u www.arifhabib.com.pk  
 ____ __ __ __ _ _______ __
    / __ \/ //_/___ _____/ /___ ___ (_)___ / ____(_)___ ____/ /__ _____
   // / / ,< / __ `/ __ / __ `__ \/ / __ \/ /_ / / __ \/ __ / _ \/ ___/
  / /_/ / /| / /_/ / /_/ / / / / / / / / / / __/ / / / / / /_/ / __/ /
  \____/_/ |_\__,_/\__,_/_/ /_/ /_/_/_/ /_/_/ /_/_/ /_/\__,_/\___/ _/
     версия 2.5.3, созданная О. Коледой и переписанная МИХИ АМРАНЕМ 
 Сайт www. arifhabib.com.pk работает стабильно
 Обработка…: 2%|█▋ |13/574
     [✔] http://www.arifhabib.com.pk/cpanel/ Страница администратора найдена!
 Обработка…: 32%|███████████████████████▎ |186/574
     [✔] http://www.arifhabib.com.pk/controlpanel/ Страница администратора найдена!
 Обработка…: 100%|█████████████████████████████████████████ ████████████████████████████|574/574
 Завершенный
 Найдено 2 страницы администратора
 всего отсканировано 574 страницы
   [/] Сканирование; Нажмите Enter для выхода 
  • Открытие веб-страницы в веб-браузере.
Страница администратора www.arifhabib.com.pk
  • Знание страницы администратора любого веб-сайта представляет потенциальный риск для владельца сайта.
  • Теперь пробуем с TOR анонимность.
  • Введите ./okadminfinder.py –tor -u exide.com.pk/
  • –tor – будет использоваться служба TOR для поиска страницы администратора целевого веб-сайта.
  • Для запуска типа sudo service tor start
  • Для проверки состояния работы службы TOR. Тип пс-эф | grep tor
  • -u используется для целевого URL. Целевой URL – exide.com.pk/
 root@kali:/home/iicybersecurity/Downloads/okadminfinder3#  ./okadminfinder.py --tor -u exide.com.pk/  
 ____ __ __ __ _ _______ __
    / __ \/ //_/___ _____/ /___ ___ (_)___ / ____(_)___ ____/ /__ _____
   // / / ,< / __ `/ __ / __ `__ \/ / __ \/ /_ / / __ \/ __ / _ \/ ___/
  / /_/ / /| / /_/ / /_/ / / / / / / / / / / __/ / / / / / /_/ / __/ /
  \____/_/ |_\__,_/\__,_/_/ /_/ /_/_/_/ /_/_/ /_/_/ /_/\__,_/\___/ _/
     версия 2.5.3, созданная О. Коледой и переписанная МИХИ АМРАНЕМ 
 Сайт exide.com.pk/ работает стабильно
 Обработка…: 0%| |0/574
     [✔] http://exide.com.pk//admin/ Страница администратора найдена!
 Обработка…: 2%|█▋ |13/574
     [✔] http://exide.com.pk//cpanel/ Страница администратора найдена!
 Обработка…: 3%|█▉ |15/574
     [✔] http://exide.com.pk//dashboard Страница администратора найдена!
 Обработка…: 3%|██▎ |18/574
     [✔] http://exide. com.pk//wp-login.php/ Страница администратора найдена!
 Обработка…: 5%|███▎ |26/574
     [✔] http://exide.com.pk//wp-admin/ Страница администратора найдена!
 Обработка…: 8%|██████ |48/574
     [✔] http://exide.com.pk//admin/index.php Страница администратора найдена! 
  • Открытие административной страницы exide.
Страница администратора exide.com.pk
  • Выше показана страница администратора с использованием прокси TOR. При использовании TOR это может занять некоторое время. Но он найдет доступную страницу администратора.

Перейдите по ссылке на YouTube, чтобы увидеть практическое применение okadminfinder3

  • Okadminfinder3 будет использовать предварительно созданный общий список логинов администратора, которые обычно встречаются на любой панели администратора веб-сайта. Ниже вы можете проверить перечисленные ключевые слова.
  • Вы найдете файл с именем adminpanellinks.txt
  • Введите cat adminpanellinks.txt
 root@kali:/home/iicyberlinks/Downloads/okadminelfinder3/0adminfinder3/LinkFile# 
 %s/админ/
 %s/admin.asp/
 %s/админ/admin.asp/
 %s/admin.aspx/
 %s/admin/admin.aspx/
 %s/admin.php/
 %s/администратор/
 %s/логин.php
 %s/admin.php
 %s/пользователь/
 %s/усуарий/
 %s/обычно/
 %s/Админ/
 %s/cpanel/
 %s/phpmyadmin/
 %s/приборная панель
 %s/см/
 %s/пользователи/
 %s/wp-логин.php/
 %s/admin/логин
 %s/авторизация/логин/
 %s/модератор/
 %s/веб-админ/
 %s/веб-мастер/
 %s/админобласть/
 %s/бб-админ/
 %s/wp-admin/
 %s/wp-логин/
 %s/wp-admin.php
 %s/логин пользователя/
 %s/логин/
 %s/логин.html
 %s/adminЛогин/
 %s/admin_area/
 %s/панель-администрирование/
 %s/инстадмин/
 %s/memberadmin/
 %s/логин администратора/
 %s/панель/
 %s/форум/админ
 %s/адм/
 %s/cp/
 %s/vue-элемент-админ
 %s/admin/cp. php
 %s/cp.php
 %s/админконтроль/
 %s/admincp/
 %s/admin/account.php
 %s/admin/index.php
 %s/admin/логин.php
 %s/admin/admin.php
 %s/admin_area/admin.php
 %s/admin_area/login.php
 %s/сайтадмин/логин.php
 %s/сайтадмин/index.php
 %s/сайтадмин/логин.html
 %s/admin/account.html
 %s/admin/index.html
 %s/admin/login.html 

Джим Гилл

Исследователь кибербезопасности. Специалист по информационной безопасности, в настоящее время работает специалистом по инфраструктуре рисков и следователем. Он исследователь кибербезопасности с более чем 25-летним опытом. Он служил в разведывательном управлении в качестве старшего офицера разведки. Он также работал с Google и Citrix над разработкой решений для кибербезопасности. Он помог правительству и многим федеральным агентствам предотвратить многие киберпреступления. Он пишет для нас в свободное время с последних 5 лет.

безопасность. Каковы наилучшие методы защиты административной части веб-сайта?

Спросил

Изменено 8 лет, 4 месяца назад

Просмотрено 21k times

Я хотел бы знать, что люди считают лучшим способом защиты разделов администратора веб-сайтов, особенно с точки зрения аутентификации/доступа.

Конечно, есть очевидные вещи, такие как использование SSL и протоколирование всех доступов, но мне интересно, где выше этих основных шагов люди считают установленной планку.

Например:

  • Вы просто полагаетесь на тот же механизм аутентификации, что и для обычных пользователей? Если нет, то что?
  • Вы используете раздел администратора в том же «домене приложения»?
  • Какие шаги вы предпримете, чтобы скрыть раздел администратора? (или вы отвергаете всю эту "неясность")

На данный момент предложения от ответчиков включают:

  • Ввести искусственную паузу на стороне сервера при каждой проверке пароля администратора, чтобы предотвратить атаки методом грубой силы [Искусство разработчика]
  • Используйте отдельные страницы входа для пользователей и администратора, используя одну и ту же таблицу БД (чтобы остановить XSRF и кражу сеансов, предоставляя доступ к областям администрирования) [Thief Master]
  • Рассмотрите также возможность добавления встроенной аутентификации веб-сервера в область администрирования (например, через . htaccess) [Thief Master]
  • Рассмотрите возможность блокировки IP-адресов пользователей после нескольких неудачных попыток входа в систему с правами администратора [Thief Master]
  • Добавить капчу после неудачных попыток входа в систему с правами администратора [Мастер воров]
  • Обеспечьте одинаково надежные механизмы (используя описанные выше методы) как для пользователей, так и для администраторов (например, не относитесь к администраторам особо) [Lo'oris]
  • Рассмотрите возможность аутентификации второго уровня (например, клиентские сертификаты, смарт-карты, карточное пространство и т. д.) [JoeGeeky]
  • Разрешить доступ только с доверенных IP-адресов/доменов, по возможности добавить проверку в базовый конвейер HTTP (например, через HttpModules). [ДжоГики]
  • [ASP.NET] Заблокируйте IPrincipal и Principal (сделайте их неизменяемыми и неперечислимыми) [ДжоГики]
  • Повышение прав федерации - например. отправлять электронное письмо другим администраторам, когда права любого администратора будут обновлены. [ДжоГики]
  • Рассмотрите детальные права для администраторов - например. вместо прав на основе ролей, определить права для отдельных действий для каждого администратора [JoeGeeky]
  • Ограничить создание администраторов - например. Администраторы не могут изменять или создавать другие учетные записи администраторов. Используйте для этого заблокированный клиент «суперадминистратора». [ДжоГики]
  • Рассмотрите SSL-сертификаты на стороне клиента или брелоки типа RSA (электронные токены) [Дэниел Папасян]
  • При использовании файлов cookie для аутентификации используйте отдельные файлы cookie для административных и обычных страниц, например, размещение раздела администратора в другом домене. [Даниэль Папасян]
  • Если возможно, рассмотрите возможность размещения административного сайта в частной подсети, вне общедоступного Интернета. [Джон Хартсок]
  • Повторная выдача билетов авторизации/сеанса при переходе между административным/нормальным контекстом использования веб-сайта [Ричард Дж. П. Ле Гуэн]
  • безопасность
  • аутентификация

8

Если на веб-сайте требуется вход в систему как для обычных действий, так и для администраторов, например. форум, я бы использовал отдельные логины, которые используют одну и ту же базу данных пользователей. Это гарантирует, что XSRF и кража сеанса не позволят злоумышленнику получить доступ к административным областям.

Кроме того, если раздел администратора находится в отдельном подкаталоге, может быть хорошей идеей защитить его с помощью аутентификации веб-сервера (например, .htaccess в Apache) — тогда кому-то нужен и этот пароль, и пароль пользователя.

Сокрытие пути администратора почти не дает повышения безопасности — если кто-то знает действительные данные для входа в систему, он, скорее всего, также сможет узнать путь к инструменту администрирования, поскольку он либо подделал его, либо заблокировал вас, либо получил его с помощью социальной инженерии (что, вероятно, открой путь тоже).

Защита от грубой силы, такая как блокировка IP-адреса пользователя после 3 неудачных входов в систему или требование CAPTCHA после неудачного входа в систему (не для первого входа, так как это очень раздражает законных пользователей) также может быть полезна.

1

Это все хорошие ответы... Обычно мне нравится добавлять пару дополнительных слоев для моих административных разделов. Хотя я использовал несколько вариантов темы, они обычно включают один из следующих:

  • Аутентификация второго уровня : это может включать клиентские сертификаты (например, сертификаты x509), смарт-карты, карточное пространство и т. д.
  • Ограничения домена/IP : В этом случае только клиенты из доверенных/поддающихся проверке доменов; такие как внутренние подсети; пускают в админку. Удаленные администраторы часто используют доверенные точки входа VPN, чтобы их сеанс можно было проверить, а также часто он защищен ключами RSA. Если вы используете ASP.NET, вы можете легко выполнять эти проверки в HTTP-конвейере через HTTP-модули, что предотвратит получение вашим приложением каких-либо запросов, если проверки безопасности не будут выполнены.
  • Блокировка авторизации IPrincipal и на основе принципала : Создание пользовательских принципов является обычной практикой, хотя распространенной ошибкой является их изменение и/или перечисление прав. Хотя это не просто проблема администратора, это более важно, поскольку именно здесь пользователи, скорее всего, будут иметь повышенные права. Убедитесь, что они неизменяемы и не перечислимы. Кроме того, убедитесь, что все оценки для Авторизации сделаны на основе Принципала.
  • Федеральные права, уровень : Когда какая-либо учетная запись получает определенное количество прав, все администраторы и сотрудник службы безопасности немедленно уведомляются об этом по электронной почте. Это гарантирует, что если злоумышленник повысит права, мы сразу узнаем об этом. Эти права обычно связаны с привилегированными правами, правами на просмотр конфиденциальной информации и/или финансовой информации (например, кредитных карт).
  • Экономно выдавайте права, даже администраторам : Наконец, и это может быть немного более продвинутым для некоторых магазинов. Права авторизации должны быть максимально конфиденциальными и должны охватывать реальное функциональное поведение. Типичные подходы безопасности на основе ролей (RBS), как правило, имеют Группа менталитет. С точки зрения безопасности это не лучший шаблон. Вместо « Groups », например « User Manager », попробуйте разбить его дальше ( Ex. Create User, Authorize User, Elevate/Revoque access rights, etc... ). Это может иметь немного больше накладных расходов с точки зрения администрирования, но это дает вам возможность назначать только те права, которые действительно необходимы для большей группы администраторов. Если доступ скомпрометирован, по крайней мере, они могут не получить все права. Мне нравится обертывать это разрешениями Code Access Security (CAS), поддерживаемыми .NET и Java, но это выходит за рамки этого ответа. Еще одна вещь... в одном приложении администраторы не могут управлять изменением других учетных записей администраторов или делать пользователей администраторами. Это можно сделать только через заблокированный клиент, к которому может получить доступ только пара человек.
  • Я отвергаю неизвестность
  • Использование двух систем аутентификации вместо одной излишне
  • Искусственная пауза между попытками должна быть сделана и для пользователей
  • Блокировка IP-адресов неудачных попыток должна выполняться и для пользователей
  • Пользователи также должны использовать надежные пароли
  • Если вы считаете, что капчи — это нормально, вы можете использовать их и для пользователей

Да, после его написания я понимаю, что этот ответ можно резюмировать так: «Ничего особенного для входа администратора, это все функции безопасности, которые следует использовать для любого входа в систему».

4

Если вы используете только один логин для пользователей, которые имеют как привилегии обычного пользователя, так и привилегии администратора, повторно сгенерируйте их идентификатор сеанса (будь то в файле cookie, параметре GET или что-то еще...) при изменении в уровень привилегий... как минимум.

Итак, если я вхожу в систему, выполняю ряд обычных пользовательских действий, а затем захожу на страницу администратора, повторно генерирую свой идентификатор сеанса. Если я затем перейду со страницы (страниц) администратора на обычную страницу пользователя, снова создаю свой идентификатор.

5

Придумайте хороший пароль администратора.

Не "123456" , а достаточно длинная последовательность букв, цифр и специальных символов, скажем, 15-20 символов. Например, "ksd83,'|4d#rrpp0%27&lq(go43$sd{3>" .

Добавляйте паузу для каждой проверки пароля, чтобы предотвратить атаку грубой силы.

8

Вот еще несколько моментов, на которые следует обратить внимание:

  1. Один из возможных вариантов, особенно если вы управляете компьютерами администратора или они технически компетентны, заключается в использовании чего-то, основанного на SSL-сертификатах, для аутентификации клиентов. Брелоки RSA и тому подобное также можно использовать для дополнительной безопасности.
  2. Если вы вообще используете файлы cookie — возможно, для токена аутентификации/сеанса — вы, вероятно, захотите убедиться, что файлы cookie отправляются только на страницы администрирования. Это помогает снизить риски, связанные с вашим сайтом, связанные с кражей файлов cookie, компрометацией уровня 1/2 или XSS. Это можно легко сделать, если административная часть находится на другом имени хоста или домене, а также установив безопасный флаг с помощью файла cookie.
  3. Ограничение по IP-адресу также может быть разумным, и если у вас есть пользователи в Интернете, вы все равно можете это сделать, если есть доверенная VPN, к которой они могут присоединиться.

Мы используем Аутентификацию Windows для доступа администратора. Это наиболее практичный способ защиты областей администрирования, в то же время сохраняя аутентификацию отдельно от того, что применяется к обычным конечным пользователям. Системный администратор управляет учетными данными для доступа администратора и применяет политики паролей для учетной записи пользователя домена.

Строгий способ состоит в том, чтобы иметь две совершенно разные «фермы», включая базы данных, серверы и все остальное, и перемещать данные из одной фермы в другую. Этот подход используется в большинстве современных крупномасштабных систем (Vignette, SharePoint и т. д.). Обычно он имеет разные этапы: «этап редактирования» -> «этап предварительного просмотра» -> «этап доставки». Этот метод позволяет работать с контентом/конфигурацией так же, как с кодом (dev->qa->prod).

Если вы менее параноик, вы можете иметь одну базу данных, но иметь доступ только к разделу администратора на «редактирующих» серверах. Я имею в виду, что на сервере редактирования должны быть размещены только сценарии/файлы редактирования.

Естественно, этап редактирования должен быть доступен только в локальной интрасети и/или с использованием VPN.

Это может показаться излишним и может быть не самым простым решением для всех случаев использования, но это определенно самый надежный способ ведения дел.

Обратите внимание, что такие вещи, как «иметь надежные пароли администратора», хороши, но все же оставляют вашего администратора открытым для умных атак всех видов.

2

Это во многом зависит от того, какие данные вы хотите защитить (юридические требования и т. д.).

  • Много предложений касается аутентификации. Я думаю, вам просто следует рассмотреть возможность использования аутентификации OpenId / Facebook в качестве входа. (Они, скорее всего, потратят больше ресурсов на безопасность аутентификации, чем вы)

  • Сохранение изменений, а также обновление значений в базе данных.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *