Добро пожаловать, Гость!
Тема закрыта для обсуждения
Права на запись - Страница 0
Архив закрытых тем | Права на запись
Искатель
: Права на запись
8 Апр 2014Ребят вот я заметил что многие оставляют права 777 на папки не содержащие файла .htaccess сразу скажу что пустые файлы микроконфигурации не помогут и права 755 на многих школо хостингах тоже вас не защитят...
У новичков сходу Возникает вопрос чем плохи эти права? Расскажу; существуют способы загрузки файлов на удаленные сервера многие современные сайты этим пользуются чтобы держать огромные загруз центры тоесть сайт стоит на одном сервере, а файлы обмена хранятся на другом более дешевом или вообще бесплатном хостинге, так вот загрузка идет через получается левый сайт, тоесть допустимые для загрузки расширения выбирает админ стороннего сайта, а что если он разрешит загрузку php в вашу папку так не разумно допускающую запись и не содержащую запрета через розетку? Ваш сайт скорее всего будет взломан или если есть что взять будут слиты платные модули... Каюсь сам таким образом сливал модули
но это в прошлом... Теперь же открываю вам секрет который впринципе понятен и прост следите за своей безопасностью и если при любых правах в папку можно залить файлы требуйте у админа хостинга исправить этот баг или запрещайте отображения через файлы микроконфигурации :-) у меня всё. Спасибо за вниманиескиталец
Тема закрыта Cистема
Комментарии:
shuriken 27 Окт 2013
Юрий (27 Окт 2013):
на дат файлы какие права должны быть?
Юрий, смотря какой сервер в основном 644 640 главное чтобы при прямом пути на файл ты не видел код на дат файлы какие права должны быть?
на папку дат тоже поставь права такие чтобы не мог туда ничего залить с сайта можеш даже специальный файл создать который будет тестировать загрузки в сетевые папки и конечно создай файлы htaccess во всех "пустых" папках дабы окончательно отрезать хакеру возможность просматривать файлы на вашем сервере 
shuriken 27 Окт 2013А еще один отступ от темы допущу да простят меня админы не в коем случае нельзя оставлять прав допускающих запись на папку dat этим вы открываете хацкеру безпрепятственный путь к твоей базе данных файлы формата dat легко импортируются через фтп менеджеры, а ведь в них хранятся открытые ничем не закодированные ключи к вашей базе, в которой есть ваши пароли современные декодеры способны перевести мд5 за несколько минут, а значит есть доступ к вашей странице наверняка каждый из вас хранит в админке свои майл или даже прописал его в анкете, и мало кто из вас использует разные пароли на почту и на акк своего сайта... Можите спорить но это проверенный факт. А если хакер попал на вашу почту считайте смело что вы лишились и домена и места на хостинге потому что пароли приходят именно туда, а не удаленные ерорлоги хранят ваш логин на панели... Всё это и дает хакеру возможность жить на ваших сайтах.
