Добро пожаловать, Гость!
Ограничение доступа
Помощь мастерам | Ограничение доступа
stail :
Сегодня один мой хороший знакомый небуду называть его сайт дабы другие не стали смеяться попросил меня взломать его сайт, я зашел статусы там можно добавиить картинку загрузил туда шелл и перешол по пути. я был в шоке что скрипт. работал когда я поинтересовался почему не ограничить хотябы по средствам htaccess он сказал что строка deny from all блокирует отображение картинок тут он конечно прав но ведь можно вложить и такой код
Options -Indexes
php_value engine off
<Files *.php>
order allow,deny
deny from all
</Files>
тогда и картинки будут видны и сайт в безопасности ребята если у вас тоже нет проверки по расширениям при загрузке файлов то вы не поленитесь создать файл микроконфигурации с кодом показанным выше иначе можите просто выложить все моды и базу сайта с подписью открыто и попрощаться с сайтом потому что рано или позно это кто нибудь заметит
Ограничение доступа
7 Мая 2014Сегодня один мой хороший знакомый небуду называть его сайт дабы другие не стали смеяться попросил меня взломать его сайт, я зашел статусы там можно добавиить картинку загрузил туда шелл и перешол по пути. я был в шоке что скрипт. работал когда я поинтересовался почему не ограничить хотябы по средствам htaccess он сказал что строка deny from all блокирует отображение картинок тут он конечно прав но ведь можно вложить и такой код
Options -Indexes
php_value engine off
<Files *.php>
order allow,deny
deny from all
</Files>
тогда и картинки будут видны и сайт в безопасности ребята если у вас тоже нет проверки по расширениям при загрузке файлов то вы не поленитесь создать файл микроконфигурации с кодом показанным выше иначе можите просто выложить все моды и базу сайта с подписью открыто и попрощаться с сайтом потому что рано или позно это кто нибудь заметит
Комментарии:
Бродяга
7 Мая 2014
stail, Еще скажи чтоб добавили html на запрет, и так далее, все форматы блокировать кромя картинок, Ты сам видеш что это все фигня зачем ты спориш?) и советаюш то что ты вычитал в гугле,
stail, Еще скажи чтоб добавили html на запрет, и так далее, все форматы блокировать кромя картинок, Ты сам видеш что это все фигня зачем ты спориш?) и советаюш то что ты вычитал в гугле,
Бродяга
7 Мая 2014
stail, Это ты, а не Юзеры которым ты советуеш этот код))) Вот ответь мне на этот вопрос на фига он тама нужен?) в картинках хеатчес?) причем на запрет формата php, ты на верно забыл что есть еще куча других форматов за гугли, и может он тебе поможет, если ты не вкурсе то можно залить двойную дырку например в формате html и на ней сделать выгрузку в другую директорую в корень, например сайта и что ты делать то будеш?
stail, Это ты, а не Юзеры которым ты советуеш этот код))) Вот ответь мне на этот вопрос на фига он тама нужен?) в картинках хеатчес?) причем на запрет формата php, ты на верно забыл что есть еще куча других форматов за гугли, и может он тебе поможет, если ты не вкурсе то можно залить двойную дырку например в формате html и на ней сделать выгрузку в другую директорую в корень, например сайта и что ты делать то будеш?
stail 7 Мая 2014
Автор темы
Автор темы
Бродяга (7 Мая 2014):
stail, Чем он их обезопасит? Твой код?) Если есть форма выгрузки на сайте? например site.ru/index.php?ud&add и файл залился site.ru/img/shell.php тут хеатчес лежит я перешел и выжу доступ закрыт что мне нужно сделать?) заменить хеачесь, вот и все капец сайту взломан,
==
Фигня этот хеатчес. и не чем он их не спасет, Нет дырок на сайте нет проблем, есть дырки проблем куча)))
Бродяга, хочеш сказать что он вообще ненужен??? парень я одними правами cmod блокирую тебе возможность заменить его при загрузке с сайтаstail, Чем он их обезопасит? Твой код?) Если есть форма выгрузки на сайте? например site.ru/index.php?ud&add и файл залился site.ru/img/shell.php тут хеатчес лежит я перешел и выжу доступ закрыт что мне нужно сделать?) заменить хеачесь, вот и все капец сайту взломан,
==
Фигня этот хеатчес. и не чем он их не спасет, Нет дырок на сайте нет проблем, есть дырки проблем куча)))
Бродяга
7 Мая 2014
stail, Чем он их обезопасит? Твой код?) Если есть форма выгрузки на сайте? например site.ru/index.php?ud&add и файл залился site.ru/img/shell.php тут хеатчес лежит я перешел и выжу доступ закрыт что мне нужно сделать?) заменить хеачесь, вот и все капец сайту взломан,
==
Фигня этот хеатчес. и не чем он их не спасет, Нет дырок на сайте нет проблем, есть дырки проблем куча)))
stail, Чем он их обезопасит? Твой код?) Если есть форма выгрузки на сайте? например site.ru/index.php?ud&add и файл залился site.ru/img/shell.php тут хеатчес лежит я перешел и выжу доступ закрыт что мне нужно сделать?) заменить хеачесь, вот и все капец сайту взломан,
==
Фигня этот хеатчес. и не чем он их не спасет, Нет дырок на сайте нет проблем, есть дырки проблем куча)))
stail 7 Мая 2014
Автор темы
Автор темы
Бродяга (7 Мая 2014):
stail, Тык ты определись сначало, что ты советуеш, ограничить выгрузку или сделать чистую форму для выгрузки то есть тупо маленькую дырочку, и без всяких тама запретов?) ты пишиш чтоб они добавили хеатчес, и так далее но при этом ты не указал что его можно заменить при выгрузки. Я еще раз повторю это хеатчес шляпа, и он их не спасет тама. Прежде чем советовать что то подумай, а не от балды им предложение, Лучший метод это закрыть все лазейки. а не заниматься фигней.
Бродяга, Помоему это самособой разумеется я лиш пишу что можно сделать чтобы обезопасить директорию конечно есть сотня способов открыть файл даже не скриптового формата из деректории с открытой записью с удаленного сервера по средствам инклудов и прочих достяжений инженерной мыслиstail, Тык ты определись сначало, что ты советуеш, ограничить выгрузку или сделать чистую форму для выгрузки то есть тупо маленькую дырочку, и без всяких тама запретов?) ты пишиш чтоб они добавили хеатчес, и так далее но при этом ты не указал что его можно заменить при выгрузки. Я еще раз повторю это хеатчес шляпа, и он их не спасет тама. Прежде чем советовать что то подумай, а не от балды им предложение, Лучший метод это закрыть все лазейки. а не заниматься фигней.
stail 7 Мая 2014
Автор темы
Автор темы
Engine (7 Мая 2014):
deny from all блокирует картинки только на денвере
Dark_ AKC, Нетолько проверь сервер на поддержку потому что слово all подразумевает всё единственное ты можеш код инклудом вывести но только если не использован направленный запрет на php как в указанном выше кодеdeny from all блокирует картинки только на денвере