Глобальная защита opencart

[Truth_Explorer]

Здравствуйте, друзья.

 

Сегодня я расскажу о том, как на 99,9% защитить opencart.

 

За 3 года пользования опенкарт я провел ряд исследований. Последний год я просил своих коллег из Канады, Франции и Китая взломать мой тестовый сайт. Результат - ноль.

 

Итак. Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно.

 

На моем сайте стоит 2 защиты:

 

1) на стороне сервера

2) программно.

 

Про первую часть я не буду говорить, так как это само собой разумеющееся: установить пароль на директорию через htpasswd.

 

А вот вторая часть интереснее. Приступим, всего 2 шага.

 

В директории админ в файле login.tpl в самом начале прописываем:

<?php
if (isset($_GET['secretkey']))
{$seckey = $_GET['secretkey'];
setcookie ("secretkey", $_GET['secretkey']);}
else if
(isset($_COOKIE['secretkey']))
{$seckey = $_COOKIE['secretkey']; }
else {$seckey = '';}
if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found");
exit; } else { ?>

В конце всего файла закрываем:

<?php } ?>

Всё.

 

Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения.

 

У меня например на сайте так: /admin?djghjcbynthytn=jndtnvfufpby

 

Сложно? - нет. Потому что мои значения этой абрыкадабры равны осмысленным значениям, только на латинице: вопросинтернет=ответмагазин.

 

И ни одна сволочь не сможет пробраться к вам, не зная этих параметров.

 

И не забывайте, всё же, об элементарных правилах безопасности. Как минимум проверку на стороне сервера, где тоже нужна будет авторизация (для новичков - на хостинге в админ-панеле легко настраивается).

 

Благодарю за внимание.

[Truth_Explorer]

Ну а чтобы господам взламывателям было веселее - я создал administrator.php , при это прописал его в robots.txt (они же любят поглазеть туда). А в этом "админском файле" я прописал клон административной части входа, только просто на html... при этом при попытке входа он отсылает на http://natribu.org/.

 

Удачи. Если будут вопросы или комментарии - буду рад ответить.

[jvz]

Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно.

почему?

 

код во view - это круто

[druzhkov]

В директории админ в файле login.tpl в самом начале прописываем:

...

 

Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения.

 

В принципе, решение нормальное, но имеет смысл развивать дальше. В данный момент это выглядит так: поставлена бронированная дверь (вход в админку), но окна и стены дома (весь остальной код) оставлены как есть. Лучше, полагаю, реализовывать подобное прямо в index.php.

[Dotrox]

Ну а чтобы господам взламывателям было веселее - я создал administrator.php , при это прописал его в robots.txt (они же любят поглазеть туда).

Может, какую-то совсем школоту вы так и обманите, но ОК легко опознать и без админки.

[Truth_Explorer]

почему?

 

код во view - это круто

 

Конечно во view - ведь любой сайт мониторится на систему управления в два счета. Зная двиг - будешь знать как к нему подойти.

[Truth_Explorer]

В принципе, решение нормальное, но имеет смысл развивать дальше. В данный момент это выглядит так: поставлена бронированная дверь (вход в админку), но окна и стены дома (весь остальной код) оставлены как есть. Лучше, полагаю, реализовывать подобное прямо в index.php.

 

Безусловно, Вы правы. Я сейчас не рассматривал вопросы прямых запросов в "дыры", которые есть в опенкарт. Я лишь показал сущность админской части.

[Truth_Explorer]

Может, какую-то совсем школоту вы так и обманите, но ОК легко опознать и без админки.

 

Вы правы. Про админ.пхп - это просто бравада, не стоит на этом заострять внимание. Мне просто захотелось эту школоту послать по адресу - никаким боком, конечно же, это не влияет на защиту в целом.

[Truth_Explorer]

почему?

 

код во view - это круто

 

мы сейчас говорим конкретно про сайт.ру/админ/

 

И это решение - да, полноценное.

[shoputils]

$_GET, $_COOKIE, header() - нельзя так.

[jvz]

$_GET, $_COOKIE, header() - нельзя так.

я об этом же

[Dotrox]

Конечно во view

Это надо делать в контроллере.

Ну, и как намекают выше - у ОК есть обёртки над суперглобальными переменными (в которых, кстати, дополнительная фильтрация) и собственный метод в Response для установки заголовков.

[TrueLog]

В 12.12.2016 в 09:21, jvz сказал:

В 12.12.2016 в 08:55, shoputils сказал:

$_GET, $_COOKIE, header() - нельзя так.

я об этом же

Почему нельзя? Этот метод, в целом, не подходит для защиты админки?

[Yoda]

3 минуты назад, TrueLog сказал:

Почему нельзя? Этот метод, в целом, не подходит для защиты админки?

Потому что нужно экранировать все что приходит в GET POST, потому что это сделано уже за вас на уровне движка, потому что надо использовать системные методы для обработки входящих данных, а не писать костыли, потому что согласно паттерну MVC, использовать любую бизнес-логику в представлении нельзя.
Потому что прежде чем постить подобные советы - надо пойти и немного поучиться!

[gavriem]

не проще в .htaccess перенести админку

RewriteCond %{HTTP_REFERER} !http://site/admin/
RewriteCond %{QUERY_STRING} !^123456789
RewriteRule ^.*admin/? /not_found [R,L]

 

выйдет http://site/admin/?123456789

[vyacheslav22]

В 12.12.2016 в 04:12, Truth_Explorer сказал:

Здравствуйте, друзья.

 

Сегодня я расскажу о том, как на 99,9% защитить opencart.

 

За 3 года пользования опенкарт я провел ряд исследований. Последний год я просил своих коллег из Канады, Франции и Китая взломать мой тестовый сайт. Результат - ноль.

 

Итак. Постоянно слышу как панацею от всех болезней - переименование, перемещение админки. К сожалению, это не эффективно.

 

На моем сайте стоит 2 защиты:

 

1) на стороне сервера

2) программно.

 

Про первую часть я не буду говорить, так как это само собой разумеющееся: установить пароль на директорию через htpasswd.

 

А вот вторая часть интереснее. Приступим, всего 2 шага.

 

В директории админ в файле login.tpl в самом начале прописываем:

<?php
if (isset($_GET['secretkey']))
{$seckey = $_GET['secretkey'];
setcookie ("secretkey", $_GET['secretkey']);}
else if
(isset($_COOKIE['secretkey']))
{$seckey = $_COOKIE['secretkey']; }
else {$seckey = '';}
if ($seckey != 'secretkeyvalue') {header("HTTP/1.0 404 Not Found");
exit; } else { ?>

В конце всего файла закрываем:

<?php } ?>

Всё.

 

Чтобы попасть в административную часть вам потребуется зайти по адресу /admin?secretkey=secretkeyvalue , где secretkey и secretkeyvalue ВАШИ значения.

 

У меня например на сайте так: /admin?djghjcbynthytn=jndtnvfufpby

 

Сложно? - нет. Потому что мои значения этой абрыкадабры равны осмысленным значениям, только на латинице: вопросинтернет=ответмагазин.

 

И ни одна сволочь не сможет пробраться к вам, не зная этих параметров.

 

И не забывайте, всё же, об элементарных правилах безопасности. Как минимум проверку на стороне сервера, где тоже нужна будет авторизация (для новичков - на хостинге в админ-панеле легко настраивается).

 

Благодарю за внимание.

 

Пробовал прописать на опенкарт 3, но после входа в админку, экран полностью белый.

Можете что то посоветовать в этом случае?

Спасибо!

[baxabit]

Для тройки: менять в контроллере, т.к. в твиге пхп не робит

[verbram]

Для третей версии необходимо провести следующие мероприятия 

Ниже указанный текст необходимо добавить в начало файла по адресу
/admin/controller/common/login.php

<?php
if (isset($_GET['10'])) {
    $seckey = $_GET['10'];
    setcookie ("10", $_GET['10']);
} else if (isset($_COOKIE['10'])) {
    $seckey = $_COOKIE['10']; 
    } else {
        $seckey = '';
    }
if ($seckey != '1019') {
    header("HTTP/1.0 404 Not Found");
    exit;
} else { ?>
<?php } ?>

 

Админка закрыта возможно попасть только через эту ссылку
https://вашьсайт.ru/admin/?10=1019

Соответственно можно менять переменные "10" и "1019" на любые ваши - делать лучше раз в месяц, 

ВАЖНО!!!! внесение изменений в login.php должно проходить при открытой панели администратора для того чтобы можно было очистить
кеш во вкладке модификаторов, в противном случае будет ошибка и белый экран

 

Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска.

 

И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:)

 

Друзья помните для опытного специалиста все эти танцы с бубном всего на 20% обезопасят ваш ресурс, в опене много дыр:) и вам за безплатно никто не расскажет как их закрыть:) в каждой версии разные. 

 

Для человека который в начале форума писал про то, что он обезопасил сайт выше указанным способом, бро кидай ссылку на сайт вынесу твой ресурс за две недели:)  Стоимость теста ресурса 500$, полная безопасность как обычно 1000$:))

 

PS: Изучайте свои движки, правильно настроенный опен это мега зверь. Изучайте внимательно мануал к движку и изменения в нем      

[Shureg]

И откуда вы, такие специалисты тупорылые, лезете-то...

46 минут назад, verbram сказал:

И основная дыра на сайте это статьи, смотрите кто у вас добавлял статьи и ответы на комменты изначально движок пихает имя админа как автора, не забудьте поменять на другое иначе вход в в ваш магаз это дело времени и хорошей машины которая за месяц брутфорса найдет и админку и логин админа и пароль:)

Какие, к черту, статьи? Вордпресса начитался, гуру стал? Права была лиса Алиса.

[chukcha]

2 часа назад, verbram сказал:

бро кидай ссылку на сайт вынесу твой ресурс за две недели:)

тестовый подойдет?

 

[Shureg]

34 минуты назад, chukcha сказал:

тестовый подойдет?

 

Так он же "за безплатно" не работает, 500 бексов хочет. В-приниципе, я бы согласился сделать ставку, взломает - я ему 500, не взломает - он мне 500. Чего не срубить бабла нахаляву. Только нет у него 500$, не будет легкого заработка 

Змінено 27 листопада 2020 користувачем Shureg

[Shureg]

2 часа назад, verbram сказал:

Да к стати можете создать поддомен на сайте, в директории создать файл index.html, настроить в нем редирект на выше указанную ссылку, чтобы при очистке кеша, который Вы должны чистить:) после каждой работы с админ панелью, не было необходимости забивать километровую ссылку в строку поиска.

Только счас заметил.  Сразу чувствуется рука матёрого безопасника.
А еще лучше там сразу выложить форму входа с уже забитыми в value логином и пассом, чтоб не заморачиваться каждый раз 

[ocdev_pro]

Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое...
1. Админ закрыть можно через .htaccess и пока пока
2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства.

Что бы вот прям защитится, надо комплекс мер
1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд
2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого
3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View
и пускай долбятся куда хотят (но потеряете совместимость)

А эти все доп пароли, куки итд.. ну такое

[Yoda]

23 минуты назад, ocdev_pro сказал:

Порывы автора благие, а решение бесполезно, скорее всего может защитить на 0,01% из 100%. к тому же в пример ставится говнокод, да еще и в tpl.. Как дал бы по рукам за такое...
1. Админ закрыть можно через .htaccess и пока пока
2. Ваш код не решает никакой проблемы, защита от школоло это так для баловства.

Что бы вот прям защитится, надо комплекс мер
1. Убрать все загрузчики файлов от клиента, а если таковы необходимы, то не использовать стандартные пути хранения файлов и делать проверку расширения итд
2. Не игнорировать экранизацию полей ввода, в OC уже есть обертка для этого
3. Можно изощряясь вынести все на уровень каталога выше (Выше public_http), а туда выводить только View
и пускай долбятся куда хотят (но потеряете совместимость)

А эти все доп пароли, куки итд.. ну такое

Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD  CAST(); RAND.

И блокировку всяких ../..///  - на уровне серверных правил.

Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций.

 

[ocdev_pro]

31 минуту назад, Yoda сказал:

Ты забыл про блокировку попыток SELECT *$%^#%HFDHGGD  CAST(); RAND.

И блокировку всяких ../..///  - на уровне серверных правил.

Контроль изменения файлов. Регулярные бекапы, отключенные логи-ошибки ну и как вишенка на торте - онлайн анализ всего что приходит в get-post в request на предмет попыток инъекций.

 

Точно. А еще, было бы очень хорошо иметь git что бы в любой не удобной ситуации, откатить изменения сделанные со стороны и увидеть куда и что добавили