Основной курс по Joomla

Защитный.htacces

0 Пользователей и 1 Гость просматривают эту тему.
  • 33 Ответов
  • 994 Просмотров
*

Mehanick

  • Завсегдатай
  • *****
  • 600
  • 1
Защитный.htacces
« : 16.01.2016, 21:52:49 »
Код
# запрет листинга всех папок и под-папок
Options -Indexes

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

# Отключаем PHP.
RemoveType php

<IfModule mod_php4.c>
  php_flag engine 0
</IfModule>

<IfModule mod_php5.c>
  php_flag engine 0
</IfModule>

# запрет на запуск файлов
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

# запрет доступа к файлам
Order Deny, Allow
Deny from all

Нашел на форуме этот код для .htassecc, у меня вопросы к специалистам по безопасности

1. Можно все оставить в файле или чтото лишнее или неактуальное и можно убрать?
2. Подойдет ли такой файл в папки images и tmp, или чтото еще доавить может? php как модуль апаче.

Заранее благодарен за ответы.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #1 : 17.01.2016, 04:05:44 »
я скажу так, есть некие расширения которые интерпретируются как PHP, но в вашем списке не указаны, второй момент зависит от конфигурации апача по интерпретации расширений, третий момент, предпочитаю разрешать нужные мне расширения, запрещая все остальные...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

shurakana

  • Завсегдатай
  • *****
  • 793
  • 43
Re: Защитный.htacces
« Ответ #2 : 17.01.2016, 06:28:43 »
третий момент, предпочитаю разрешать нужные мне расширения, запрещая все остальные...
А вот тут можно по подробнее, что вы имеете ввиду?
Эта подпись отображается внизу каждого Моего сообщения. Я также могу использовать BB код и смайлы.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #3 : 17.01.2016, 13:51:49 »
А вот тут можно по подробнее, что вы имеете ввиду?
как пример, в корневой .htaccess встовляем такую херь:
Тут в перечисленных папках запрещаем выполнение всего!
Цитировать
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.*$">
Order Allow,Deny
Deny from all
</Files>

Тут в перечисленных папках разрешаем только то, что нам нужно (статестические страници, медиафайлы, стили, еще что то по необходимости)
Цитировать
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.(bmp|woff|ttf|svg|eot|css|csv|doc|gif|html|htm|jpg|jpeg|js|pdf|png|ppt|psd|swf|tiff|txt|xls|BMP|CSS|CSV|DOC|GIF|HTML|JPG|JPEG|JS|PDF|PNG|PPT|PSD|SWF|TIFF|TXT|XLS|mp4)$">
allow from all
</Files>
Т.е разрешаем все то что нам нужно, что не попадает в список разрешенных расширений в указанных папках, будет выдаваться 403 ошибка
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Mehanick

  • Завсегдатай
  • *****
  • 600
  • 1
Re: Защитный.htacces
« Ответ #4 : 17.01.2016, 17:34:03 »
хрень получается, двойная работа.
что делает это?
Код
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.*$">
Order Allow,Deny
Deny from all
</Files>

Если заплещает в выбранных папках все, а потом вашем методом в них же других хтачес рарешаем, то не легче сразу в этих папках одним хтачес запретить все, разрешая чтото нужное.

*

Mehanick

  • Завсегдатай
  • *****
  • 600
  • 1
Re: Защитный.htacces
« Ответ #5 : 17.01.2016, 17:39:29 »
Или вы имели ввиду

Код
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.*$">
Order Allow,Deny
Deny from all
</Files>

Тут в перечисленных папках разрешаем только то, что нам нужно (статестические страници, медиафайлы, стили, еще что то по необходимости)
Цитировать
<Files ~ "^(templates|stories|plugins|patch|modules|media|logs|libraries|language|includes|images|components|cache)\.(bmp|woff|ttf|svg|eot|css|csv|doc|gif|html|htm|jpg|jpeg|js|pdf|png|ppt|psd|swf|tiff|txt|xls|BMP|CSS|CSV|DOC|GIF|HTML|JPG|JPEG|JS|PDF|PNG|PPT|PSD|SWF|TIFF|TXT|XLS|mp4)$">
allow from all
</Files>

Это все в один корневой хтасес вставляТЬ? тогда другое дело

*

dmitry_stas

  • Профи
  • ********
  • 9668
  • 931
Re: Защитный.htacces
« Ответ #6 : 17.01.2016, 17:39:38 »
Цитировать
Подойдет ли такой файл в папки images и tmp, или чтото еще доавить может?
tmp - нельзя запрещать запуск php
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #7 : 17.01.2016, 19:39:56 »
Это все в один корневой хтасес вставляТЬ? тогда другое дело
Да в корневом, да и по логике тут явно все видно!

tmp - нельзя запрещать запуск php
Аргументируйте почему? а потом постройте логическую ципочку и попробуйте еще раз аргументировать!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Mehanick

  • Завсегдатай
  • *****
  • 600
  • 1
Re: Защитный.htacces
« Ответ #8 : 17.01.2016, 20:37:28 »
Друг выложи если шаришь окончательный вариант htaccess для корневой папки

И еще вопрос, для подпапок это действует?

*

dmitry_stas

  • Профи
  • ********
  • 9668
  • 931
Re: Защитный.htacces
« Ответ #9 : 17.01.2016, 21:32:28 »
Аргументируйте почему? а потом постройте логическую ципочку и попробуйте еще раз аргументировать!
согласен, обойдемся даже без первого аргументируем :) не учел, что используется не прямой доступ к файлу.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #10 : 17.01.2016, 23:01:32 »
Друг выложи если шаришь окончательный вариант htaccess для корневой папки

И еще вопрос, для подпапок это действует?
для подпапок действует, окончательный вариант может быть динамический и индивидуальный, каждому по своей потребности.
Так же советую разобраться с https://github.com/nikosdion/master-htaccess/blob/master/htaccess.txt для Joomla
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

skidrow

  • Осваиваюсь на форуме
  • ***
  • 72
  • 0
  • alien_halite
Re: Защитный.htacces
« Ответ #11 : 16.07.2016, 22:57:41 »
Коллеги!

Если для защиты от листинга, что из этого можно прописать в файле .htaccess

Options All -Indexes
Options -Indexes
IndexIgnore *

И если все можно решить таким способом, зачем угарать с размещением пустого index.html в каждой директории?

Спасибо!

*

effrit

  • Группа развития
  • *****
  • 7443
  • 815
  • effrit.com
Re: Защитный.htacces
« Ответ #12 : 16.07.2016, 23:56:50 »
skidrow, в стандартном файле трешек уже прописано
IndexIgnore *

а заглушки кидают на случай, если суперхостинг, например, не позволяет использовать .htaccess.
ну это такой вариант полумифический, но в нашем удивительном мире все же встречаются и такие удивительные хостеры.

*

skidrow

  • Осваиваюсь на форуме
  • ***
  • 72
  • 0
  • alien_halite
Re: Защитный.htacces
« Ответ #13 : 17.07.2016, 01:14:13 »
О! Исчерпывающе, спасибо! Значит, можно не плодить эти файлики, если компонент без оных.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #14 : 17.07.2016, 13:24:52 »
если такого файлика не будет, то я в него смогу прописать бегдор и вызвать, к примеру images/?cmd=phpinfo(); в результате чего смогу обойти определенные значения, конечно на разных серваках по разному, но все же лучше иметь index.php|html с правами 0444
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

skidrow

  • Осваиваюсь на форуме
  • ***
  • 72
  • 0
  • alien_halite
Re: Защитный.htacces
« Ответ #15 : 17.07.2016, 13:37:22 »
все же лучше иметь index.php|html с правами 0444

это вы имеете ввиду вот те самые пустые файлики, которые должны быть в каждой папке, состоять из

Код
<!DOCTYPE html><title></title>

и иметь права доступа 0444 ?

*

flyingspook

  • Moderator
  • *****
  • 3610
  • 236
Re: Защитный.htacces
« Ответ #16 : 17.07.2016, 13:52:05 »
это вы имеете ввиду вот те самые пустые файлики, которые должны быть в каждой папке, состоять из

Код
<!DOCTYPE html><title></title>

и иметь права доступа 0444 ?

Да это и имеем ввиду.

Почитайте темы на форуме, реально уже достали, все думающие и сильно умные с вопросом зачем пустой индекс в каждой папке, а он необходим был, есть и будет, и в следующем веке и последующих.
Реально зачем задавать такие вопросы если решили сделать как кажется верно и без ответа на вопрос.
Вот не понимаю кому пустые индексы мешают.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #17 : 17.07.2016, 14:30:56 »
Ну хуть кто то мне плюсик поставил, я счастлив))))))))
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

skidrow

  • Осваиваюсь на форуме
  • ***
  • 72
  • 0
  • alien_halite
Re: Защитный.htacces
« Ответ #18 : 17.07.2016, 14:41:51 »
flyingspook, если "реально достали", то есть у вас ряд способов - удалить и блокировать юзеров, закрыть форум или убиться об стену. Я так понимаю, площадка для того создана, чтобы люди общались, а если вы считаете, что вопрос глупый, то это только ваши комплексы. Если вы не в курсе, то сюда и ходят за тем, чтобы задавать глупые вопросы, а умные люди делятся опытом.

"Почитайте форум", я перед тем, как сделать этот пост, потратил кучу времени на копание в результатах поиска, но ничего подходящего не нашел. Вам что жаль строчку текста кинуть, вместо того, чтобы я неделю рыл все темы? Или просто необходимость в *** мокнуть юзера при своем статусе? Неужели нельзя проявить элементарную человеческую толерантность? Я и так стараюсь не сильно беспокоить жителей форума своими вопросами - но зачем мне заниматься поиском несколько часов подряд или больше, если я могу спросить, это же не требуется научную статью на мой вопрос писать. Уверен, я у автора пять минут украл, не более. Так для того мы здесь все и сидим. Или мы уже забыли что такое человеческие отношения - одни должны заткнуться и сидеть, другие почивать на лаврах?

Тем более, что последний пост в этой теме был от 17.01 ! Вот уж "достали так достали", как вы говорите, прямо-таки заддосили сервер постами в этой теме...

А если уж по теме, то есть такие компоненты, например jshopping , у которого нет таких заглушек и приходится вручную ему их закидывать, вот и спросил. Это не потому что хочу тут дурака повалять.

А вам, камрад, желаю быть немного терпимее к людям, я тут без злого умысла все делаю, если вам так кажется. А если "достали", так блокируйте, все в ваших руках. Но шелбанов отпускать не надо, это вам не подобает, как модератору. Да и не думаю, что слишком уж вас "достал".

*

effrit

  • Группа развития
  • *****
  • 7443
  • 815
  • effrit.com
Re: Защитный.htacces
« Ответ #19 : 17.07.2016, 14:50:30 »
да, какая-то странная ситуация получается.
не так давно ведь была статья от автора акибы (если не ошибаюсь), в которой все эти файлы анахронизмом назывались и призывалось пользоваться htaccess.
как бы у меня нет оснований не доверять этому человеку.
и если "достали", то имеет смысл собрать структурно тему и закрепить её.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #20 : 17.07.2016, 14:55:20 »
да, какая-то странная ситуация получается.
не так давно ведь была статья от автора акибы (если не ошибаюсь), в которой все эти файлы анахронизмом назывались и призывалось пользоваться htaccess.
как бы у меня нет оснований не доверять этому человеку.
и если "достали", то имеет смысл собрать структурно тему и закрепить её.
кстате, поддерживаю! что то типо FAQ сделать в закрепленной теме....

"Почитайте форум", я перед тем, как сделать этот пост, потратил кучу времени
Значит не достаточно потратели времени, либо в меру своей не опытности, что то не понял..., вся инфа в нете доступна и предельно ясна, просто надо уметь ее понимать и разбираться с ней...
« Последнее редактирование: 17.07.2016, 14:59:11 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям


*

skidrow

  • Осваиваюсь на форуме
  • ***
  • 72
  • 0
  • alien_halite
Re: Защитный.htacces
« Ответ #22 : 17.07.2016, 15:29:28 »
Значит не достаточно потратели времени, либо в меру своей не опытности, что то не понял..., вся инфа в нете доступна и предельно ясна, просто надо уметь ее понимать и разбираться с ней...
возникает логичный вопрос, смысл данного специализированного форума? Вся другая инфа тоже в инете есть. Вполне согласен, что в меру своей неопытности. Тогда надо в правилах форума прописать, что постить имеют право не ниже уровня senior )

Я думал, форумы для того и создаются, чтобы была возможность работать в виртуальном коллективе. А что, тогда здесь можно делать, если нельзя задавать вопросы? Ведь так про любой вопрос можно сказать, что инфа 99.9% есть в интернете )

*

dmitry_stas

  • Профи
  • ********
  • 9668
  • 931
Re: Защитный.htacces
« Ответ #23 : 17.07.2016, 15:40:34 »
кстати, вот статейка
я уже писал где-то в похожей теме, на данный момент разработчики Joomla отказались от практики размещения файлов index.html во всех каталогах. в последнем дистрибутиве найдете всего лишь 20 таких файлов. также требование об обязательных index.html в каталогах убрано из правил размещения расширений на JED

если такого файлика не будет, то я в него смогу прописать бегдор
имеется в виду - при уязвимой системе сможете прописать? а почему именно в него, а не в любой другой?

А если уж по теме, то есть такие компоненты, например jshopping , у которого нет таких заглушек и приходится вручную ему их закидывать, вот и спросил.
имхо это лишнее. если они есть, то специально удалять их тоже особо смысла не вижу. но и создавать специально честно говоря тоже :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #24 : 17.07.2016, 16:02:30 »
имеется в виду - при уязвимой системе сможете прописать? а почему именно в него, а не в любой другой?
Да, при уязвимой системе, а в него потому что он не интерпретируется как расширение, к пример мы блочим все выполнение по расширениям в папки images, как следствие выполнения по расширениям images/?cmd=phpinfo(); или images/index.php?cmd=phpinfo();, чувствуите разницу? во втором случае сработает htaccess по расширению, в первом нет...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

dmitry_stas

  • Профи
  • ********
  • 9668
  • 931
Re: Защитный.htacces
« Ответ #25 : 17.07.2016, 17:13:00 »
да, я понимаю, именно этот вариант единственный и пришел в голову, но в таком случае вам придется иметь в папках не index.html, а index.php. потому как на сервере приоритет индексной страницы скорее всего будет у index.php, а не у index.html. а index.html вероятнее всего будет статикой, и не позволит выполнять в себе php. а index.php разработчики расширений уж точно не пишут в расширения в каталоги.

вы конечно правы относительно этого, но имхо этот вариант больше не массовый, а когда вы сами настраиваете разрешения выполнения по папкам, доступным для upload. тогда да, согласен, наличие таких файлов с соответствующими правами не будут лишними. а тут больше речь об index.html как защите от листинга. а это имхо бестолковость.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Защитный.htacces
« Ответ #26 : 17.07.2016, 20:51:26 »
да, я понимаю, именно этот вариант единственный и пришел в голову, но в таком случае вам придется иметь в папках не index.html, а index.php. потому как на сервере приоритет индексной страницы скорее всего будет у index.php, а не у index.html. а index.html вероятнее всего будет статикой, и не позволит выполнять в себе php. а index.php разработчики расширений уж точно не пишут в расширения в каталоги.

вы конечно правы относительно этого, но имхо этот вариант больше не массовый, а когда вы сами настраиваете разрешения выполнения по папкам, доступным для upload. тогда да, согласен, наличие таких файлов с соответствующими правами не будут лишними. а тут больше речь об index.html как защите от листинга. а это имхо бестолковость.
ну харошо.... на счет PHP уговорили..., ну что мешает тогда оставить бегдор ввиде xss?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

vipiusss

  • Профи
  • ********
  • 5529
  • 318
  • Круглая ава-зло!
Re: Защитный.htacces
« Ответ #27 : 18.07.2016, 08:27:47 »
Хватит пи ***  меряться.
Лучше подскажите, как я понял, желательно везде залить пустышку index.html (<!DOCTYPE html><title></title>) и на своё усмотрение сделать .htacess ?

Определите лучше для всех минимальную защиту в данном файле, обсуждениями придите к нужному и закрепим потом как FAQ.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

AlekVolsk

  • Профи
  • ********
  • 6301
  • 336
Re: Защитный.htacces
« Ответ #28 : 18.07.2016, 09:23:14 »
файл-пустышка нужен только в подпапках первого уровня вложенности от корня сайта, глубже - не нужно, но в .htaccess обязательно должно присутствовать
IndexIgnore *
Options +FollowSymlinks
Options -Indexes

*

vipiusss

  • Профи
  • ********
  • 5529
  • 318
  • Круглая ава-зло!
Re: Защитный.htacces
« Ответ #29 : 18.07.2016, 09:38:13 »
Так, тогда буду компоновать, а вы помогайте/дополняйте (оригинальный J!3.6):
буду этот пост менять исходя из дополнений

Результат:

Спойлер
[свернуть]

Изменения:


AlekVolsk: а там уже есть
Спойлер
[свернуть]
« Последнее редактирование: 18.07.2016, 09:44:09 от vipiusss »
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями