Добро пожаловать, Гость!
Ограничение доступа - Страница 1
Помощь мастерам | Ограничение доступа
stail 
: Ограничение доступа
7 Мая 2014Сегодня один мой хороший знакомый небуду называть его сайт дабы другие не стали смеяться попросил меня взломать его сайт, я зашел статусы там можно добавиить картинку загрузил туда шелл и перешол по пути. я был в шоке что скрипт. работал когда я поинтересовался почему не ограничить хотябы по средствам htaccess он сказал что строка deny from all блокирует отображение картинок тут он конечно прав но ведь можно вложить и такой код
Options -Indexes
php_value engine off
<Files *.php>
order allow,deny
deny from all
</Files>
тогда и картинки будут видны и сайт в безопасности ребята если у вас тоже нет проверки по расширениям при загрузке файлов то вы не поленитесь создать файл микроконфигурации с кодом показанным выше иначе можите просто выложить все моды и базу сайта с подписью открыто и попрощаться с сайтом
потому что рано или позно это кто нибудь заметитКомментарии:
Бродяга
7 Мая 2014stail, Еще скажи чтоб добавили html на запрет, и так далее, все форматы блокировать кромя картинок, Ты сам видеш что это все фигня зачем ты спориш?) и советаюш то что ты вычитал в гугле,
Бродяга
7 Мая 2014stail, Это ты, а не Юзеры которым ты советуеш этот код))) Вот ответь мне на этот вопрос на фига он тама нужен?) в картинках хеатчес?) причем на запрет формата php, ты на верно забыл что есть еще куча других форматов за гугли, и может он тебе поможет, если ты не вкурсе то можно залить двойную дырку например в формате html и на ней сделать выгрузку в другую директорую в корень, например сайта и что ты делать то будеш?
stail 7 Мая 2014Автор темы
Бродяга (7 Мая 2014):
stail, Чем он их обезопасит? Твой код?) Если есть форма выгрузки на сайте? например site.ru/index.php?ud&add и файл залился site.ru/img/shell.php тут хеатчес лежит я перешел и выжу доступ закрыт что мне нужно сделать?) заменить хеачесь, вот и все капец сайту взломан,
==
Фигня этот хеатчес. и не чем он их не спасет, Нет дырок на сайте нет проблем, есть дырки проблем куча)))
Бродяга, хочеш сказать что он вообще ненужен??? парень я одними правами cmod блокирую тебе возможность заменить его при загрузке с сайтаstail, Чем он их обезопасит? Твой код?) Если есть форма выгрузки на сайте? например site.ru/index.php?ud&add и файл залился site.ru/img/shell.php тут хеатчес лежит я перешел и выжу доступ закрыт что мне нужно сделать?) заменить хеачесь, вот и все капец сайту взломан,
==
Фигня этот хеатчес. и не чем он их не спасет, Нет дырок на сайте нет проблем, есть дырки проблем куча)))
Бродяга
7 Мая 2014stail, Чем он их обезопасит? Твой код?) Если есть форма выгрузки на сайте? например site.ru/index.php?ud&add и файл залился site.ru/img/shell.php тут хеатчес лежит я перешел и выжу доступ закрыт что мне нужно сделать?) заменить хеачесь, вот и все капец сайту взломан,
==
Фигня этот хеатчес. и не чем он их не спасет, Нет дырок на сайте нет проблем, есть дырки проблем куча)))
stail 7 Мая 2014Автор темы
Бродяга (7 Мая 2014):
stail, Тык ты определись сначало, что ты советуеш, ограничить выгрузку или сделать чистую форму для выгрузки то есть тупо маленькую дырочку, и без всяких тама запретов?) ты пишиш чтоб они добавили хеатчес, и так далее но при этом ты не указал что его можно заменить при выгрузки. Я еще раз повторю это хеатчес шляпа, и он их не спасет тама. Прежде чем советовать что то подумай, а не от балды им предложение, Лучший метод это закрыть все лазейки. а не заниматься фигней.
Бродяга, Помоему это самособой разумеется я лиш пишу что можно сделать чтобы обезопасить директорию stail, Тык ты определись сначало, что ты советуеш, ограничить выгрузку или сделать чистую форму для выгрузки то есть тупо маленькую дырочку, и без всяких тама запретов?) ты пишиш чтоб они добавили хеатчес, и так далее но при этом ты не указал что его можно заменить при выгрузки. Я еще раз повторю это хеатчес шляпа, и он их не спасет тама. Прежде чем советовать что то подумай, а не от балды им предложение, Лучший метод это закрыть все лазейки. а не заниматься фигней.
конечно есть сотня способов открыть файл даже не скриптового формата из деректории с открытой записью с удаленного сервера по средствам инклудов и прочих достяжений инженерной мысли stail 7 Мая 2014Автор темы
Engine (7 Мая 2014):
deny from all блокирует картинки только на денвере
Dark_ AKC, Нетолько deny from all блокирует картинки только на денвере
проверь сервер на поддержку потому что слово all подразумевает всё единственное ты можеш код инклудом вывести но только если не использован направленный запрет на php как в указанном выше коде
