Grav-plugin-admin: 무차별 대입 공격에 취약한 로그인 페이지

에 만든 2016년 11월 03일 · 14코멘트 · 출처: getgrav/grav-plugin-admin

관리자 패널은 무차별 대입 공격에 취약합니다. 로그인 페이지(/admin)는 사용자가 존재하는 경우 코드를 반환하고 사용자가 존재하지 않고 이를 시도하는 자동화된 시스템을 차단하는 장벽이 없는 경우 다른 코드를 반환합니다. 나는 이 아이디어가 마음에 들지 않지만, 즉시 이 문제를 해결하는 가장 쉬운 방법은 보안 문자를 삽입하는 것이라고 생각합니다. 또 다른 대안(얼마나 효과적인지는 확실하지 않음)은 동일한 IP에서 하루에 시도 횟수를 제한할 수 있습니다.

비밀번호 분실 페이지도 취약합니다... 비밀번호 분실 링크를 시도하여 요청하면 시스템에서 이메일 등록 여부를 확인합니다. "이메일이 등록된 이메일이면 복구 링크가 전송된 것입니다. 링크를 받지 못한 경우 사이트 관리자에게 문의하세요."와 같은 일반적인 메시지로 변경하는 것이 좋습니다. .. 하지만 그것으로 충분할지 확신이 서지 않습니다. 좀 더 전문 지식이 있는 사람이 이 문제를 조사하고 싶어할 수도 있습니다.

enhancement

출처

rsip22

👍6

가장 유용한 댓글

로그인 시도 사이의 지연(가능한 한 기하급수적으로 증가하는 것이 바람직함)은 각 시도가 특정 한도까지 증가하여 무차별 대입 공격을 효과적으로 차단합니다. 지연 및 제한은 매개변수로 설정할 수 있습니다.

billhemsley 에 2016년 11월 08일

👍6

모든 14 댓글

다음과 같은 단일 오류 메시지를 사용하겠습니다. Incorrect username or password. 이러한 변경 사항(암호 문자열 변경을 잊어버린 경우 포함)은 두 형식 모두에서 사용자 이름을 추측하는 것을 불가능하게 만듭니다.

IP로 액세스를 제한하지는 않겠지만 보안 문자를 옵션으로 추가하는 것은 나쁜 생각이 아닙니다.

mahagr 에 2016년 11월 03일

👍2

보안 문자 옵션은 별로 좋아하지 않지만 추가해야 하는 경우 최소한 몇 번의 시도 실패(예: 3회 또는 기타) 후에만 보안 문자를 활성화할 수 있습니까?

rsip22 에 2016년 11월 05일

👍2

billhemsley 에 2016년 11월 08일

👍6

로그인 플러그인 베타 버전에서 비밀번호 찾기 기능이 수정되었습니다. 지금은 이메일 주소만 받습니다.

rhukster 에 2016년 11월 12일

또한 https://github.com/getgrav/grav-plugin-login/commit/3e7c20fd66639123cfb2894d9298d4ccfb861af9 에서 이메일의 존재 여부에 관계없이 동일한 메시지를 인쇄하도록 편집했습니다.

flaviocopes 에 2016년 11월 15일

실패한 시도 로깅은 fail2ban 등에도 좋을 것입니다. :)

Mahagon 에 2017년 05월 06일

👍4

특정 시간 동안 잘못된 로그인 시도 횟수를 제한하는 방법은 무엇입니까?

tech4him1 에 2017년 07월 06일

로그인 플러그인에는 이제 다음을 제어하는 보안 섹션이 있습니다. https://github.com/getgrav/grav-plugin-login/commit/590f188189c8453afb5992e7ec385795336ee711

flaviocopes 에 2017년 07월 06일

👍3

보안 문자에 대한 OPTION이 있으면 여전히 좋을 것입니다. 또한 홍수 방지 기능이 전혀 작동하지 않는 것 같습니다.
Grav는 보안 기능이 활성화된 경우에도 더 이상 암호를 입력하는 것을 막지 않습니다. 로그인 시도 사이의 시간도 연장되지 않습니다.

내가 뭔가 잘못하고 있습니까 아니면 플러그인이 단순히 고장난 것입니까?

Neicul 에 2017년 07월 24일

실제로 로그인 플러그인 무차별 대입 보호는 Admin에 적용되지 않습니다(여기에 반대를 쓰는 것이 나쁩니다). Admin에서 웹서버 수준 보호(예: Apache의 htaccess/htpasswd)를 추가하고 이 기능이 Admin에도 포함될 때까지 IP 범위로 제한할 수 있는 옵션이 있습니다.

flaviocopes 에 2017년 07월 24일

😕1

내가 참조. 네, 그때까지는 그렇게 하는 것이 현명하다고 생각합니다.
현재로서는 사용자가 관리 페이지를 보호해야 한다는 경고를 받지 못하는 경우 눈에 띄는 보안 결함처럼 보입니다.

또한 이미 제안한 대로 대시보드에 로그인 시도 실패에 대한 경고가 표시되면 매우 좋습니다.

이에 대한 업데이트가 곧 이루어지길 바랍니다. :)

편집: .htaccess 솔루션은 관리 페이지의 모든 CSS를 거의 죽입니다. 어느 정도 사용할 수 없게 만듭니다.

Neicul 에 2017년 07월 24일

👍1

현재 더 나은 관리자 보안을 위해 할 수 있는 최선은 다음과 같이 이름을 변경하여 관리자 페이지를 숨기는 것입니다.
https://learn.getgrav.org/admin-panel/faq#custom -admin-url
관리자용 로그인 보호 기능이 곧 제공되기를 바랍니다. 회사 사이트에서 로그인 보호 기능을 사용할 수 없기 때문입니다.

Neicul 에 2017년 07월 26일

실제로 로그인 플러그인 무차별 대입 보호는 Admin에 적용되지 않습니다(여기에 반대를 쓰는 것이 나쁩니다). Admin에서 웹서버 수준 보호(예: Apache의 htaccess/htpasswd)를 추가하고 이 기능이 Admin에도 포함될 때까지 IP 범위로 제한할 수 있는 옵션이 있습니다.

내 관리자 로그인 페이지에서 무차별 대입 보호가 작동하는 것 같습니다. 문서 에도 있습니다. 이 댓글이 구식인가요 아니면 제가 오해하고 있는 건가요?

또한 Grav가 fail2ban과 함께 작동하도록 하는 방법을 아는 사람이 있습니까?

diegovogel 에 2019년 03월 22일

내 대체 솔루션은 모든 서버/호스팅에 대한 FTP 액세스 권한이 있는 경우에만 작동합니다.

특정 IP 주소만 /admin/ 폴더를 읽을 수 있도록 .htaccess를 편집할 수 있습니다. 다른 모든 IP(및 후속 봇)는 폴더 내용을 로드할 수 없습니다.

이 방법을 사용하여 모든 것을 허용하지 않았지만 내 자신의 IP 주소는... 빌드 웹사이트를 시작하기 전에 작동하는지 확인하기 위해 사용했습니다. 이것은 로컬 웹 서버를 실행하기 전이었습니다. 아마도 이것은 두려워하고 자신의 IP만으로 완전한 제어를 원하는 소수의 사용자에게 여전히 작동합니다.

MakePixelsWork 에 2019년 12월 04일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Grav-plugin-admin: 무차별 대입 공격에 취약한 로그인 페이지

가장 유용한 댓글

모든 14 댓글

관련 문제