ExBB Community » » Уязвимости » Общие вопросы безопасности

Страниц (6): « 1 2 3 4 5 [6]
 

76. Alexandr - 6 января 2013 — 19:42 - перейти к сообщению
electron пишет:
юзайте поиск, обсуждалось

Спасибо Вам! Улыбка Поиском искал, видимо в результатах пролетел мимо нужной темы.

Ещё подскажите всё-таки по поводу защиты при помощи htpasswd, это всё проделать несложно, но хотел уточнить в какую именно директорию нужно закинуть htaccess? В папку admin (где .tpl) ?

Код в htaccess будет таким:
CODE:
AuthType Basic
AuthName "protected area"
AuthUserFile /usr/home/<полный путь до файла> / .htpasswd
require valid-user
77. Alexandr - 15 января 2013 — 14:59 - перейти к сообщению
Всем доброго времени суток!

Опять возвращаюсь в вопросу общей безопасности, а именно к загрузке на форум различного рода аттачей (в основном - картинки, архивы).
На просторах сети наткнулся на такую статейку "Прячем любую информацию в картинку"
( URL: _http://stopmalware.kz/showthread.php?t=13073&p=80325#post80325 )

Созданная таким образом картинка имеет определяемый (допустимый) размер, "нужный" вес и без проблем заливается в папку upload на форуме через обычный редактор сообщений (проверил это сам).
А если вместо файликов .doc запихнуть .php или .ехе ? Получается есть вероятность что всё это "добро" может сработать в браузере.

Кто что думает по этому поводу? Стоит ли принимать какие-нибудь контр-меры? Улыбка
78. BON - 18 января 2013 — 13:55 - перейти к сообщению
ой забудьте. если бЫ это работало уже большие ресурсы давно сломали
79. Alexandr - 18 января 2013 — 18:57 - перейти к сообщению
BON, хорошо, Вы меня отчасти убедили Улыбка
P.S. (спратать "левые" файлы в картинку всё же получилось и залить на форум тоже).
80. BON - 18 января 2013 — 19:25 - перейти к сообщению
ну и дальше что с ними произойдет?? а ничего
(Добавление)
засуньте вредоносный код и попробуйте залейте ради интереса
81. 1Bot - 19 января 2013 — 07:05 - перейти к сообщению
Alexandr пишет:
Созданная таким образом картинка имеет определяемый (допустимый) размер, "нужный" вес и без проблем заливается в папку upload на форуме через обычный редактор сообщений (проверил это сам).
А если вместо файликов .doc запихнуть .php или .ехе ? Получается есть вероятность что всё это "добро" может сработать в браузере.


На стороне сервера должен быть еще скрипт, который эту "картинку" распакует и запишет (или запустит) уже извлеченный вредоносный код. Если такой скрипт уже как-то попал к Вам, тогда угроза вполне реальная, поэтому тут лучше обсуждать исключения путей проникновения такого скрипта на web-сервер.

Яндекс.Метрика   

Powered by ExBB
[Script Execution time: 0.0161]     [ ]