Autor Zpráva
Darker
Profil
Vytvořil jsem upload server, a mám trochu problém s bezpečností.
Server ukládá soubory pod původním názvem (pokud neexistují) a povoluje i nahrátí PHP.
Aby se soubory nemohly spustit, dal jsem do složky se soubory tento konfigurační soubor:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^([a-zA-Z0-9\.]+)[/]?$ upload/index.php?file=$1 
</IfModule>

Ale pravděpodobně to není dostatečná ochrana, někdo to dokázal obejít. Testovat to můžete, nové PHP skriptu nahrát nepůjdou, ale je již nahraný soubor echo.php.
Složka se soubory se jmenuje files.
Davex
Profil
Darker:
Už se to tu řešilo. Podívej se třeba do
Jak zabezpečit skripty?
Ošetření uploadu.
upload fotografie s omezením
Zabezpečení upload scriptu

Cílem zabezpečení by měl být zákaz spuštění všech skriptů v upload adresáři (na serveru nemusí být jen PHP).
Darker
Profil
A tuší někdo, jak se tomu člověku podařilo skript spustit?
Davex
Profil
Darker:
Možná se tam někde dá použít LFI nebo RFI Exploit, ale nezkoušel jsem.
Darker
Profil
Šlo mi spíš o princip než o „LFI nebo RFI Exploit“ ať už je to cokoli. (použiju google)

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: