Есть ли способ найти URL-адрес моей учетной записи администратора?

Question

Предположим, что я являюсь владельцем сайта http://www.example.com, а моя страница входа в систему - http://www.example.com/admin12345. Здесь admin12345 передан в URL как параметр. PHP-код на сервере решает, отображать ли страницу входа администратора (если соответствующий параметр в URL-адресе admin12345) или нет.

Я не хочу, чтобы эта страница просматривалась для всех. Только для человека, который знает путь к этой странице. Я хочу, чтобы было довольно сложно угадать этот URL-адрес на странице входа администратора.

Каковы мои шаги, чтобы скрыть мою страницу входа в систему от пользователей?

Должен ли я скрыть эту страницу из поисковой системы Google в <meta name="robots" content="noindex"> или любым другим способом уменьшить количество посетителей на странице входа администратора?

Это верно: «Угадать URL-адрес страницы входа администратора, admin12345 в URL-адресе - это пароль. Поэтому чем сложнее (длиннее) текст admin12345, тем сложнее (чем дольше это требуется), чтобы найти URL-адрес страницы входа администратора ».

Действительно ли он подходит как для Windows, так и для Linux?

Итак, я надеюсь, что ответ на вопрос «единственный метод - метод грубой силы».

P.S. В этом примере http://www.example.com/admin12345 - это страница входа администратора, а не область администрирования.

Answer 1

«Скрытие» вашей страницы администратора небезопасно. Существует множество мест, которые можно найти, включая файлы Sitemap, роботы, аналитики и результаты поиска.

Вам понадобится реализовать какую-либо безопасность на странице, предполагая, что мир может (и найдет его).

Однако нет никакого вреда в изменении имени страницы, чтобы сделать ее менее очевидной для поисковой системы/пользователя, но вы не должны полагаться на эту неясность для вашей безопасности.

Вы можете уменьшить количество хитов страницы получает по:

• Не перечислить его в SiteMaps или Robots.txt
• Не связывая с ним с других страниц на вашем сайте
• Не перечисляя его с помощью Google Analytics (или любого другого инструмента для мониторинга поисковых систем)

Answer 2

Скрытие URL-адреса присваивается как Security through obscurity.

URL-адреса не являются безопасными сами по себе, потому что:

• Они вошли в историю браузера.
• Они могут регистрироваться прокси-серверами.
• Серверы и другие устройства часто регистрируют их по умолчанию.
• Они могут быть просочились через referer HTTP header.

Хотя это не безопасно само по себе, это не повредит, чтобы дать эту страницу случайное имя, но не полагайтесь на него для обеспечения безопасности. Вы должны добавить тег meta, как вы упомянули, что лучше, чем использование файла robots.txt, так как этот файл можно просто прочитать, чтобы узнать, где находятся ваши «секретные» пути URL. В дополнение к NOINDEX было бы разумно также включить NOFOLLOW.

<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW"> 

Если вы переименование админки, вы, вероятно, будете лучше избегать слов «администратора» или «логин» в пути в качестве инструментов, таких как автоматические сканеры и google dorks, более вероятно, чтобы найти их. Снова я должен подчеркнуть, что это должны быть дополнительные меры, сделанные на вашей странице, которые должны быть безопасными сами по себе, предполагая, что URL-адрес известен, и скрытие страницы администратора не должно использоваться в качестве предлога для того, чтобы не обеспечить надлежащего обеспечения администратора.

Ознакомиться с OWASP Top 10 для самых распространенных эксплойтов, найденных в 2013 году, с советами по защите вашего приложения от них.