管理后台登录地址理论上有办法被猜到吗？

分享 / 13 / 72 / 创建于 6个月前

事情是这样的，最近修改了后台登录的ADMIN_ROUTE_PREFIX，后台前缀不带admin字符，但是没过几天就被人猜到了，查看了一下日志，一天被尝试了900多次登录，但是最后没登录上，想问下这种是怎么猜测出来的？附上登录尝试日志，是个德国IP，应该是代理IP，还有很多条就不截取了

管理后台登录地址理论上有办法被猜到吗？

后台

课程读者 187 声望

暂无个人描述~

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

讨论数量: 72

lovewei

177 声望

路由重写，可以参考下wordpress的做法。

6个月前评论

ljheisenberg （楼主）

不是，关键我后台地址也不暴露在前台，我不知道他是怎么知道的，我是在env文件修改的

deatil

见习助教 762 声望

不一定猜出来，你打开了你的后台后，又有去访问其他网站，带的refer就有可能把你的后台地址暴露了。有些搜索引擎会收录到

6个月前评论

ljheisenberg （楼主）

还能这样吗，我在各大搜索引擎通过我们网站名+管理后台或者后台字样去检索，发现只有前台用户登录页面，没看到这个

deatil （作者）

@ljheisenberg 那估计就是恰巧猜到了。要防就隔一段时间更改后台地址

ljheisenberg （楼主）

@deatil 刚改了，本来想改成想那种token那种长一点，结果同事说记不住，就改成12位的了，之前有的请求直接写死了/admin/路径，上次特地改成读取ADMIN_ROUTE_PREFIX的了，反正大不了改.env配置文件，也就几秒钟的事情:joy: 公司的一个免费行业资讯网站，想不通搞这个的目的

deatil （作者）

@ljheisenberg 这个，不止你们的资讯网站。如果你网站后台有漏洞，拿到后就可以拿到你整个服务器的网站了。

ljheisenberg （楼主）

@deatil 上面的几个项目都是Laravel项目，我的服务器密码都是设置的非常复杂，27位密码、大小写数字@^#*都有，而且顺序是乱的，每个项目的用户都不是一个，mysql用户也是按照项目单独的，只给对应的数据库权限，密码也是二三十位，我后台设置的密码也都是比较复杂的，理论上应该不容易尝试出来，早期项目是那种CMS的，估计漏洞不少，重构过，然后thinkphp的项目我都删了，phpmyadmin也删了:joy:

deatil （作者）

@ljheisenberg 那就没啥大问题。直接把ip加黑名单完事

ljheisenberg （楼主）

@deatil 好的，我加一下这个功能，还没弄呢，cdn倒是有自带的IP黑名单:joy:

kis龍

Laravel 9.x 译者 498 声望

不确定后台是不是被注入了

比如图片直接用对方的一个页面，只要你打开对方就可以直接获取你的后台地址。

6个月前评论

ljheisenberg （楼主）

图片直接用对方一个页面？啥意思，我目前的图片都是自动粘贴上传到cdn服务器的，和后台不是一个路径，前台上传的图片也是到cdn服务器，域名地址都不是一个

kis龍（作者）

@ljheisenberg 访问图片的时候会有 referer 头信息，这个就是网页地址，你打开调试模式，看下

ljheisenberg （楼主）

@kis龍看了一下，图片请求的Referer就是网站的www.xxx.com的域名，Host是对应的cdn域名cdn.xxx.com

clark

可能性比较大，也就是行业所说的XSS攻击，原理就是用户把一个js文件伪装成一个图片或者其他字符写入了你的系统，不管你后台地址如何更改，这个伪装的程序只要你打开后台页面，就会被触发，把你的所有参数报给了攻击者，他们都不用猜测。（注意：这个脚本注入的入口，不止是用户上传存在可能，而且开发者在引用一些第三方的广告代码，JS特效，以及一些CDN组件时候，都有可能被污染，这一块需要自己去排查）

kis龍（作者）

@ljheisenberg 你有试试吗？这也是一种可能

file_put_contents(__FILE__.'.log', ($_SERVER['HTTP_REFERER'] ?? 'no').PHP_EOL, FILE_APPEND);
$png = __DIR__.'\jquery\mobile\1.4.5\images\icons-png\clock-white.png';
$f = fopen($png, 'rb');
header('Content-Type: image/png');

while(!feof($f)) {
    echo fread($f, 316);
}
fclose($f);

小猪蹄子

203 声望

有了网址，只要前后台共用域名，后台地址一般就是那26个字母组合，循环组合请求地址获取页面返回信息情况，不就拿到后台地址了？

6个月前评论

ljheisenberg （楼主）

这种有什么破解方法吗

qufo

@ljheisenberg 我有一计，登录 ssh 把管理后台直接下线了。要用的时候开起来。

qufo

或者简单些，登录防火墙，设置为只允许你自己IP地址访问一了百了。哪怕在外面一样可以，耽误1分钟设置下而已。

小猪蹄子（作者）

@ljheisenberg 分开部署前后台？后台单独加其他端口号访问？

ljheisenberg （楼主）

@qufo 这个不太现实啊，不是我一个人用，同事有时候晚上或者临时上传一下资讯，难道每次都通知我打开一下，那肯定不得方便的

ljheisenberg （楼主）

@小猪蹄子没试过，那同事那边怎么访问呢，不是还是需要一个网址访问吗？用的Laravel，后台用的Dcat-Admin，感觉分开部署前后台是不是也有点麻烦了，也不是前后端分离的项目:joy:

ljheisenberg （楼主）

@qufo 自己IP？关键公司的IP好像没有公网IP，每隔两三个星期会自动跳一次，而且有一个兼职小伙伴也在负责资讯上传

小猪蹄子（作者）

@ljheisenberg 就类似前台是baidu.com 后台是baidu.com:12345 或者要不就拿二级域名单独配置后台，前台的部署代码就把后台代码删了，对于麻烦来说，这本来就是你麻烦的事情，不会是爬你的人麻烦，别人可能只需要改改代码，但你要想各种不同方式来预防

Mutoulee

课程读者 333 声望 / Developer @ Dobeen.Net

不用担心，你把/admin去掉了，那就成根路径了，这种全网扫描按域名扫的太多了，不是谁故意扫你，不用理会。

6个月前评论

ljheisenberg （楼主）

也不是去掉/admin，就是把后台本身带/admin路径的改成别的一个统一路径，比如/foo之类，这种也会扫描到吗

ljheisenberg （楼主）

关键有一个IP一直在尝试登录，一天有900多次，看日志参数 1 OR xxx，感觉明显是想用SQL注入那套办法尝试登录后台

slowlyo

课程读者 1.0k 声望 / ─=≡Σ(((つ•̀ω•́)つ▏使用 laravel 和 amis 快速构建你的后台 @ → owladmin.com

就算后台路径暴露也不是什么大问题吧, 更换地址效果不好, 是不是应该考虑给后台登录增加防爆破, 封锁下 ip / 账号之类的

6个月前评论

ljheisenberg （楼主）

嗯，后台用的dcat-admin，我搜搜看下怎么加

yyy123456

此言差矣，最好别暴露后台地址。

chasonma

课程读者 4 声望

可以给后台登录加上一个 GET 参数，访问的时候必须携带对应的参数和值，控制器判断不匹配就重定向回主页或报404，比如加个 token 参数：/admin/login?token=随机字符串

6个月前评论

ljheisenberg （楼主）

感觉跟我这个修改/admin路径差不多啊，我直接修改env文件的ADMIN_ROUTE_PREFIX感觉上差不太多

chasonma （作者）

@ljheisenberg 用参数的方式会比改 admin 路径好很多，可以防止被脚本扫到正确的路径，可以携带一个复杂的参数。

ljheisenberg （楼主）

@chasonma 这样吗，是因为query参数key和value都比较随机，没有单纯的路径好试出来，所以更难一些是吧？等于只是在登录页面加上?key=value的形式，登录进去之后还是正常的路径，嗯，这个方法好像不错

chasonma （作者）

@ljheisenberg 是的一般脚本扫是固定路径谁能猜的到路径还需要加参数呢而且参数叫什么值是多少比纯路径复杂多了一般都不会猜到一个登录页面还要加上参数才可以访问

laisxn

跟我上家做法一致

MArtian

版主 3.8k 声望

估计是被脚本扫到了，这种一般都是针对 wordpress 站点的攻击脚本。

参考宝塔 www.business.com/16 位随机字符串为登录地址

6个月前评论

php_yt

1.1k 声望

换长点的 md5

6个月前评论

ljheisenberg （楼主）

嗯，是个办法，主要同事嫌弃太长不好记

SuperLuckyDi

@ljheisenberg 不能收藏网址吗这是他们的问题好不啦他们访问网站都是手敲网址吗我不信

GeorgeKing

L5.7 译者 761 声望

可是试试这三种方案：

在请求头做文章，例如在 Nginx 层判断用户是否传递了指定的请求头，以及值是否符合预期，不符合则响应 403。然后在客户端统一用 ModifyHeader 之类的插件自动添加用于验证的请求头！
后台的端口不对外暴露，所有流量走 SSH 端口转发，这个需要本地的一些客户端支持 SSH 代理！
或者就是是用类似 Tailscale 的服务，做内网请求，不对外暴露！

类似方法有很多，主要是看团队内部的上手成本……

6个月前评论

ljheisenberg （楼主）

@kani 哈哈哈，在公司待了马上快8年了，一开始就我一个人，反正公司要啥，就去网上自学，也相当于给了一些锻炼机会

ljheisenberg （楼主）

小公司，四五十人，就我一个人负责公司网站开发、网络维护、电脑设备维护（装系统、组装电脑）

GeorgeKing （作者）

@ljheisenberg 你这比全栈干的还多:joy:

kani

@ljheisenberg 我滴乖乖，你这都不算全栈了，你这是全包啊

ljheisenberg （楼主）

@GeorgeKing 哈哈哈，我15年毕业，16年考研失败，17年找了一个小公司入职，也算是公司肯收留我，我大学学的材料，自学当时转行找了几个月没找到，当时也很迷茫，好在进公司一开始就是简单在后台改改，当时还是用的destoon的CMS，反正有啥杂活都干，有事干就行，然后自己在网上自学，前面两年工作很松散，基本上上班时间也在自学，不过当时工资不高，才三四千，够了，我当时想的是哪怕不给钱也去，一开始有很多培训机构包装的公司，16年那几个月还去富士康ME部门打了几个月酱油，实在没办法了，先找个工作干再说

GeorgeKing （作者）

@ljheisenberg 我也是差不多 16～17 年从 Helpdesk 自学编程，然后 17 年年底转的开发，算是赶上了互联网泡沫的末尾！之前也是啥都干，因为 IT 部门隶属于行政，天天得端茶递水，修电脑、电话、打印机，不过好在那个时候单身有精力去学习……

ljheisenberg （楼主）

@GeorgeKing 现在不单身了是吧，祝69 :joy:

yyy123456

@ljheisenberg 生化环材不是四大天坑吗

ljheisenberg （楼主）

@yyy123456 当时本来想读英语专业的，高考就英语考了140，其他一般，堂哥建议报的材料:joy: 现在的英语已经泯然众人矣

qufo

Laravel 8.x 译者 292 声望

我的机器是云服务器，管理后台运行在另一个端口号，889 ，所以，登录云服务器的管理平台，放开我IP的 889 端口访问，其他的一概拒绝。用完后，把这条删了，所有人访问不了 889. 我在 nginx 设置了两个 vhost ，一个是前台展示的。所以关于 /admin 的路径全部 drop 了。另一个是管理后台的。运行在 889 端口，可以全功能访问。

这样当然还有其他漏洞，但起码不会被猜密码了，我告诉你后台地址你也访问不了，我告诉你密码你也登录不了。

6个月前评论

ljheisenberg （楼主）

如果一个人用感觉这种还是合适的，但是还有几个同事也用，大部分时间是在公司，可能也会在家里用，一般的IP都是会跳的，没有公网IP，所以我给他们的密码基本上都是比较长，而且都是中英文大小写数字和@#^*&这些符号都有，基本上不低于24位，如果这样还来破解，那纯粹吃饱没事干，同事每次都跟我说，你怎么密码设置的这么复杂，我就会跟他们说这样安全点:joy:

lyxxxh2

…牛,我们自己的。密码统一,破解一个全破解,后台数据没啥重要的。
(甚至服务器密码都是差不多不过账号他猜不到)

当然客户的项目,密码就长了。

lyxxxh2

1 声望

-1 or ... 一看就是sql注入,跟登录没一点关系。

900次sql注入,脚本一下子的事情。

我公司统一 /admin,改其他路径,自己记得住后台吗

要安全? 让客户改长密码。

6个月前评论

ljheisenberg （楼主）

这个人玩玩没想到我用的是最安全的Laravel框架，整个项目都有没用whereRaw原生SQL，理论上应该不存在SQL注入吧:joy:

ononl

198 声望

整一个sha加密的地址+随机IP

6个月前评论

ljheisenberg （楼主）

你这种适合一个人耍，感觉一旦涉及到几个人，每次我更新都需要通知他们

qufo

Laravel 8.x 译者 292 声望

我再提供一种方案吧，也很简单。同样是分开前后端，后端不让公网访问。后端使用一个特殊的，公网不解析的域名，比如 admin-2024.example.com 注意这个 admin 域名公网不要解析。然后，让参与管理的人员，在本地 host 中加入这个解析。首先，没有公网解析，少去了猜密码，连 admin-2024.example.com 你都不知道，你咱猜，就象猜到，还有密码一道防线。其次，在管理电脑上加个 host 非常简单，而且长久有效。

6个月前评论

hackchen

20 声望

设置成你的IP才能访问就好了

6个月前评论

33qis

23 声望

之前我做了几种方式：

强密码校验之外，登录api限速成不成功都限速

我给访问后台设定了个token，通过url获取然后写到cookie，如果没有这个token加持访问就是404，适合简单访问后台的
通过otp验证，那就麻烦所有人都安装个otp客户端
只有个人或者安全级别最高的，直接屏蔽，只允许服务器本地访问，然后通过隧道到服务器访问

6个月前评论

dewdrops

课程读者 8 声望

地址做成随机数加密登陆就好了，可以定期更换一次。嫌麻烦的话就在后面跟时间，比如今天是admin_2024-07-31，每日要访问就加上时间就可以登陆了

6个月前评论

qufo

没用的，我猜地址猜得很快。64条线程跑满那种。

Aoyamakiri

Laravel 9.x 译者 33 声望

有条件的话上cf的zero trust

6个月前评论

是阿东啊

课程读者 66 声望

最简单有效的方式，就是楼上说的 IP 白名单

6个月前评论

如此甚好

97 声望

买个waf

6个月前评论

fantaixi

0 声望

很多方式，强密码是最基础的，同一IP或同一登录用户名错误3次，锁半小时，麻烦一点IP白名单登录，家里IP变了，去云上加上再访问，还可以加身份验证器和游戏密保那种60秒变化一次数字，要安全就不要怕麻烦，

6个月前评论

ljheisenberg （楼主）

如果一个人白名单IP倒也合适，还有同事和外部兼职伙伴，我在后台AuthController加了这个ThrottlesLogins的Trait，然后在postLogin重写了，但是很奇怪，超过错误次数后，请求429 too many request没问题，但是右上角这个错误提示不知道哪里来的，the given data was invalid.

Laravel

Laravel

yyy123456

课程读者 337 声望

建议使用谷歌动态口令密码，苹果和安卓手机都能装的，登录时看自己手机。

6个月前评论

5yop

课程读者 16 声望

弄个假的呗；让他自己玩

6个月前评论

gowithwind

12 声望

ip白名单如果不在里面的直接直定向去下载一个大文件。

6个月前评论

qufo

啊你这比我狠。浪费自己带宽。

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助