Добро пожаловать, Гость!
Ограничение доступа - Страница 2
Помощь мастерам | Ограничение доступа
stail 
: Ограничение доступа
7 Мая 2014Сегодня один мой хороший знакомый небуду называть его сайт дабы другие не стали смеяться попросил меня взломать его сайт, я зашел статусы там можно добавиить картинку загрузил туда шелл и перешол по пути. я был в шоке что скрипт. работал когда я поинтересовался почему не ограничить хотябы по средствам htaccess он сказал что строка deny from all блокирует отображение картинок тут он конечно прав но ведь можно вложить и такой код
Options -Indexes
php_value engine off
<Files *.php>
order allow,deny
deny from all
</Files>
тогда и картинки будут видны и сайт в безопасности ребята если у вас тоже нет проверки по расширениям при загрузке файлов то вы не поленитесь создать файл микроконфигурации с кодом показанным выше иначе можите просто выложить все моды и базу сайта с подписью открыто и попрощаться с сайтом
потому что рано или позно это кто нибудь заметитКомментарии:
Бродяга
7 Мая 2014stail, Тык ты определись сначало, что ты советуеш, ограничить выгрузку или сделать чистую форму для выгрузки то есть тупо маленькую дырочку, и без всяких тама запретов?) ты пишиш чтоб они добавили хеатчес, и так далее но при этом ты не указал что его можно заменить при выгрузки. Я еще раз повторю это хеатчес шляпа, и он их не спасет тама. Прежде чем советовать что то подумай, а не от балды им предложение, Лучший метод это закрыть все лазейки. а не заниматься фигней.
stail 7 Мая 2014Автор темы
Бродяга (7 Мая 2014):
stail, Да но еще один нюанс есть, например я все равно смогу воспользоваться шеллом тама. Не буду раскрывать секреты, свои но скажу что это все шляпа. Один есть вариант защится это закрыть все дырки, и так далее)))
Бродяга, Несможеш stail, Да но еще один нюанс есть, например я все равно смогу воспользоваться шеллом тама. Не буду раскрывать секреты, свои но скажу что это все шляпа. Один есть вариант защится это закрыть все дырки, и так далее)))
могу даже спорить я сейчас создам глухую директорию и форму к ней и ничего ты не сделаеш ) единственное ограничение на загрузку сделаю загрузку самаго .htaccess vitalik3005 7 Мая 2014stail, ну так это уже отдельный разговор так и нада говорить потому что в чистом движке везде где есть выгрузка файлов со стороны пользователя есть этот htaccess
stail 7 Мая 2014Автор темы
vitalik3005 (7 Мая 2014):
у меня к примеру на социале и других dcms при загрузке шелла через аватар пишет неверный формат
vitalik3005, Причем тут аватар?? он дополнил скрипт микроблога возможностью загрузить файл ну а проверку не поставил в итоге получилась вот такая штука... наверняка многие так лажались сам из их числа но было это давноу меня к примеру на социале и других dcms при загрузке шелла через аватар пишет неверный формат
