1. дома
  2. Вопрос и ответ
  3. В любом случае защита вашего сайта от внешнего сайта scandir

В любом случае защита вашего сайта от внешнего сайта scandir

2016-03-11 2 views
0

Просто наткнулся на веб-сайт, в котором перечислены все скрытые файлы. Я использовал каталог Facebooks под названием: «хэштегом /», и результаты показали целую кучу файлов из http://www.facebook.com/hashtag/В любом случае защита вашего сайта от внешнего сайта scandir

Вот сайт, который делает это: https://pentest-tools.com/website-vulnerability-scanning/discover-hidden-directories-and-files

Так что мой главный вопрос здесь, есть ли способ, чтобы защитить ваш сайт от сканирования другим веб-сайтом, показывающий секретные файлы, такие как: tokens.php, sessions.php, templates /, models/configs/ ... etc ???

Это меня действительно беспокоило сейчас, просто скажем, что мы создаем сайт, на котором хранятся важные файлы и структуры, и если кто-то хочет посмотреть, что мы держим в этой конкретной папке, есть ли какой-либо способ предотвратить это показ с этого веб-сайта или любых других сайтов, выполняющих эту операцию?

Я знаю, что вы можете сделать это с помощью .htaccess, но не могли бы вы показать мне пример предотвращения сканирования нескольких папок?

источник

2016-03-11 M50Scripts

+0

Когда я пытаюсь найти facebook.com/hashtag/, он не находит файлы или каталоги? – OptimusCrime

+0

Вы выбрали: получить расширения файлов для: **. Php ** ??? – M50Scripts

+0

Да, ни один файл не был возвращен. – OptimusCrime

ответ

5

Основной вариант Indexes вы можете отключить их в вашем .htaccess с

Options -Indexes

Второй вариант блокирует Deny

Order Deny,Allow 
Deny from All

Скажем у вас есть папка под названием inc, который содержит некоторые файлы, вам не нужен доступный через URL-адрес, но вы хотите, чтобы ваши другие скрипты PHP могли включать их, вы подбрасываете это правило в файле .htaccess в inc.

Вот ссылка на большой ресурс по .htaccess правил https://github.com/phanan/htaccess

источник

2016-03-11 20:19:16 cmorrissey

+0

Спасибо за ваше время @cmorrissey :), который очень помог, это просто страшно, когда кто-то просматривает скрытые структуры, когда они не должны: P – M50Scripts

1

Один общий подход к вложенным файлам, которые не доступны непосредственно ниже веб-корень, поэтому они недоступны из Интернета.

Например, если у вас есть ваш корень сети в var/www/html, разместите исходный код за пределами html, и загрузить его из Интернета будет невозможно. Однако это требует, чтобы вы использовали какую-то загрузку/требующую файлы в своей структуре, но это довольно часто в наши дни. См. PSR-4: Autoloading.

Инструмент, с которым вы связаны, не имеет «волшебного» способа поиска файлов, так как блокировка/скрытие файлов с Apache абсолютна, см. this ответ для получения более подробной информации .htaccess. Инструмент просто пробует серию слов и общих имен файлов и проверяет допустимый ответ 200. Если вы не переместите свои файлы за пределы веб-корня, от них было бы невозможно защитить.

Как вы говорите, это может запретить доступ к каталогам и файлам с .htaccess, а также отключить список файлов, однако вы должны заметить, что .htaccess настройки наследуются от каталога к каталогу, а это означает, что если вы блокируете все доступ к корневому уровню, это будет применяться к каждому файлу и каталогу, который он содержит.

источник

2016-03-11 20:19:34 OptimusCrime

Смежные вопросы

 Смежные вопросы