Форум русской поддержки Joomla!® CMS
10.12.2016, 16:45:42 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

htaccess и htpasswd пароль только на url с параметром например "index.php?test"

 (Прочитано 141 раз)
0 Пользователей и 1 Гость смотрят эту тему.
ice99
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 91


« : 28.08.2016, 13:01:25 »

Объясню задачу.
Хочу защитить админку.
Есть 2 варианта 
1. AdminExile ("перенос" админки)
2. Базовая авторизация

Сделал и то и другое - работает.

Одно немножко не нравится - при вводе site.ru/administrator/ спрашивается авторизация (при её отсутствии AdminExile молча перебрасывает этот URL на морду.).
Как бы невелика проблема, но это даёт понять что админка здесь, и это лишний повод побрутфорсить сервер.
Возникла идея, точнее вопрос:

Как сделать так, чтобы site.ru/administrator/ молча перебрасывал на морду, а site.ru/administrator/index.php?test требовал базовой авторизации?

Нашел в инете похожее решение, но не смог допилить до своего случая.

Показать текстовый блок
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2289



« Ответ #1 : 28.08.2016, 19:37:06 »

Возникла идея...

Знаете, все давно уже придумано за вас. И ничего нового сейчас не рождается, лишь вспоминается все давно забытое старое... Давайте вернемся к истокам. Вы знаете, как ломают сайты? Первым делом я начну выяснять, на каком движке он работает. Для этого я могу сделать  несколько запросов к файлам, которые я знаю, посмотреть robots.txt, файлы локализации, тот же readme небось до сих пор там и лежит... Если подчистили, то есть масса сервисов, определяющих движок сайта по присущим ему признакам. А зная, что сайт на Joomla, мне уже все равно, стоит ли у вас плагин скрытия админки или нет, я и так знаю, где она. Подобного рода украшательства прячут лишь форму с логином и паролем, предотвращая брутфорс. Однако брутфорсом никто в наше время и не занимается. Следовательно, в подобных плагинах, имхо, смысла мало. Оставьте htpassword, остальное вам не нужно.
Записан
ice99
Осваиваюсь на форуме
***

Репутация: +2/-0
Offline Offline

Сообщений: 91


« Ответ #2 : 28.08.2016, 20:24:09 »

Для этого я могу сделать  несколько запросов к файлам, которые я знаю, посмотреть robots.txt, файлы локализации, тот же readme небось до сих пор там и лежит... Если подчистили, то есть масса сервисов, определяющих движок сайта по присущим ему признакам.
Согласен, но речь не идет о пуленепробиваемом бронежилете.
- В robots.txt можно вставить блоки от Wordpress-овского робота (не повредят сайту, а запутать злоумышленника могут) и создать папку "wp-admin"
- readme не лежит
- прямой доступ к файлам *.ini (локали) запрещен
- сервисы не панацея (сайт amett.ru сделан на Joomla, но хоть одна система палит это? Догадаться можно лишь косвенно, по имени js файла расширения, доступного только для Joomla)

А зная, что сайт на Joomla, мне уже все равно, стоит ли у вас плагин скрытия админки или нет, я и так знаю, где она.
а что вам даст знание папки site.ru/administrator/, если плаг AdminExile редиректит этот адрес на морду?

Однако брутфорсом никто в наше время и не занимается.
Да ладно, на этом форуме полно сообщений "Аааа, стучаться в админку - помогите."

Оставьте htpassword, остальное вам не нужно.
А можете посоветовать что-нибудь для мониторинга коннектов, попыток инъекций, подбора паролей для Joomla?
RSFirewall вроде рогатый, но платный. Варезный ставить не хочу.
Либо мониторить всё по логам Апача хостера?
Записан
Missile
Завсегдатай
*****

Репутация: +70/-0
Offline Offline

Пол: Женский
Сообщений: 685


« Ответ #3 : 28.08.2016, 21:12:07 »

Цитировать
В robots.txt можно вставить блоки от Wordpress-овского робота (не повредят сайту, а запутать злоумышленника могут) и создать папку "wp-admin"
Угу, а можно ещё в футере написать: "Работает на 1С-Битрикс". Толку от этого будет ровно столько же.
Цитировать
сайт amett.ru сделан на Joomla, но хоть одна система палит это?
Там даже школьник спалит Joomla, увидев в исходнике ссылки вида images/stories или amett.ru/modules
Цитировать
Да ладно, на этом форуме полно сообщений "Аааа, стучаться в админку - помогите."
Стучатся и брутфорсят - разные вещи. К тому же, от брутфорса можно сделать бан по IP в случае превышения лимита ввода неправильных логинов/паролей.

Если у Вас обычный сайт, то достаточно выставить правильные права на файлы и папки, защитить админку через htpasswd (ну и пароль придумать не 123456), своевременно обновляться и не использовать варёз. Хостинг тоже желательно иметь нормальный, не копеечный. Если коммерс, тогда это уже другая тема, хотя базовые принципы останутся теми же.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3537


« Ответ #4 : 28.08.2016, 21:52:51 »

@ice99
Вам правильно советуют htpasswd, увы вы не понимаете. На пальцах разложу.
Сейчас любой менеджер файлов панели управления на хосте или сервере дает возможность установить ограничение доступа к папке.
Вот это вам и советуют.
Все что вам надо сделать это выбрать папку и на неё завести пользователя и выдать ему пароль, и все, при входе в админку у вас будет запрашиваться лог/пас в браузере для доступа к панели и потом для самой админки для входа в неё. Придется вводить 2 раза разные логин/пасс, но если не ввести первый раз вас ни куда не перекинет, а просто ответит 401 ошибкой.
То что вы узко мыслите это точно, отдав вместо админки главную вместо положенной 404 вы уже сами "спалили поляну". Ваш вариант о котором вы думаете (хотя это пустая трата времени) от get запросов может и хорош, но еще есть и post.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet