关於ECShop后台自定义後因robots.txt引发的安全漏洞

2016-07-07 15:17 来源:www.chinab4c.com 作者:ecshop专家



关於ECShop后台自定义後因robots.txt引发的安全漏洞

一般后台自定义/更名的原因不外乎是不想使用预设的后台名称而引致管理界面曝光而引起的安全隐患, 而后台更名後亦会跟着在robots.txt > Disallow内加入/替换原有的admin以避免新后台地址被搜寻引擎收录,但由於这个 robots.txt 是一个纯文字档而不是一个php檔, 即使權限為644亦能被任何人直接開啟, 這就失去了後台更名的意義, 亦會讓稍為熟悉ECShop的有心人就有機可乘

希望官方能尽快修正一下這個嚴重問題


就以摩托罗拉 (motorola)为例, 这样够恐怖未呢?

1. 在浏览器内直接开启:
http://www.motostore.com.cn/robots.txt

2. 找到后台:
User-agent: *
Disallow: /admin/

3. 后台被曝光了
http://www.motostore.com.cn/admin

回答:
谢谢您的建议,我们会把该建议反馈给开发人员。

有道理 这样后台目录改名也没什么意义了。。

不过一般单纯找到后台也没什么意义。。



这个其实是为了 禁止 搜索机器人(网络爬虫、蜘蛛)抓取文件中所包含的页面

比如 www.taobao.com/robots.txt 就公开把百度给毙了

当然禁止抓取后台页面和其他一些页面无非是为了防止网络爬虫抓取到一些后台等入口

之前很多asp的网站后台被黑,就是一些无聊的人 google 出

.com/admin/login.asp 等地址,不信你现在搜还是一堆。

至于会引起别人通过聽robots.txt 访问到一些页面

这个没办法。你可以在一些路径做个PHP跳转或者 只允许你的网站调用,单纯访问不行。


类似的google一下吧

做人要厚道,看帖要回帖,先顶一下!!





Signature--------------------------------------------------------------------------------------------------------------------
Nothing is impossible for a willing heart
puzzle games
mini games

5楼很强,不过我觉得,用户名和密码够复杂的话,后台是否暴露没有什么意义

7# 镜花水月


使用后台自定义不纯粹是怕被黑, 当一个站点有一定规模时自然会遇到一些比较特别的东东, 譬如一些老外称为Script kiddie的无聊人,他们可能只是想整蛊一下你的站, 就拿一些已有的程序或只写几句使用你admin a/c及一个错的密码在你站点后台不断自动登入的程序, 然後从各大proxy站点使用一下, 玩你一两个星期, ECShop的后台安全机制我还未有时间详细研究, 如Discuz的话你将会因为admin密碼錯誤次数太多而無法登入一段時間, 相信這已苦不堪言, 好在ECShop后台可随时更名, 遇到这些情况直接把后台改名就行, 所以后台可以的话还是不曝光好些

9# fedora13


这个问题还不简单。。开启验证码就OK拉。。再搞不好加个认证码。。。

同意楼上的

关注....

我倒跑上十天半个月取得一个密码

为了进入一个网站后台

也不值得吧。。


我试过


密 ...
shixt 发表于 2010-2-22 10:10



商业竞争,无所不用其极,能用已知的技术手段解决的为什么不用?

谢谢楼主!