Kirjoittaja Aihe: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D (Luettu 4639 kertaa)

JA5U · « : 24.10.16 - klo:17.43 »

Moi

Osaisiko joku avata, että miten Apache on konfattu, kun vastaa otsikon mukaiseen pyyntöön.
Tarkemmin

domain.fi/alikansio/?C=M;O=D
Entä mitä heikkouksia tähän liittyy muuta kuin se, että tiedostot ja kansiot on listattavissa ja luettavissa/ladattavissa?

retu · « **Vastaus #1 :** 24.10.16 - klo:18.33 »

Avautuisiko mod_autoindex modulin dokumenteista?

Huomaa että sen lisäksi pitää jollain tasolla asettaa "Options +Indexes" (Se voi olla vaikka hakemistokohtainen, ei ole pakko olla web-palvelimen juuressa).

JA5U · « **Vastaus #2 :** 24.10.16 - klo:21.51 »

Lainaus käyttäjältä: retu - 24.10.16 - klo:18.33

Avautuisiko mod_autoindex modulin dokumenteista?

Huomaa että sen lisäksi pitää jollain tasolla asettaa "Options +Indexes" (Se voi olla vaikka hakemistokohtainen, ei ole pakko olla web-palvelimen juuressa).

Kyllähän tuo sen verran, että ainakin tietää uusia käteviä parametrejä tuolle

Varsinaisesti mitään tietoturvaan liittyvää ei äkkiseltään löytynyt.
Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.
Toki, jos tuollainen olisi ylipäätään omassa palvelimessa, niin olisin kyllä huolestunut

nm · « **Vastaus #3 :** 24.10.16 - klo:22.40 »

Lainaus käyttäjältä: JA5U - 24.10.16 - klo:21.51

Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.

Niin. Suurin riski liittyy ehkä siihen, että hakemistolistauksen kautta hyökkääjä voi helposti saada jotain lisäinformaatiota järjestelmästä, kuten siellä ajettavista palvelinpuolen skripteistä, jos joku asetustiedosto on sijoitettu väärään paikkaan. Listaukset on syytä sallia vain niissä sijainneissa, joissa sivuston käyttäjien on tarkoitus käyttää niitä. Tiedostojen jakoon nuo ovat ihan käteviä.

JA5U · « **Vastaus #4 :** 25.10.16 - klo:07.31 »

Lainaus käyttäjältä: nm - 24.10.16 - klo:22.40

Lainaus käyttäjältä: JA5U - 24.10.16 - klo:21.51
Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.

Niin. Suurin riski liittyy ehkä siihen, että hakemistolistauksen kautta hyökkääjä voi helposti saada jotain lisäinformaatiota järjestelmästä, kuten siellä ajettavista palvelinpuolen skripteistä, jos joku asetustiedosto on sijoitettu väärään paikkaan. Listaukset on syytä sallia vain niissä sijainneissa, joissa sivuston käyttäjien on tarkoitus käyttää niitä. Tiedostojen jakoon nuo ovat ihan käteviä.

Ehkä sekin verkkopalvelu, joka tämän kysymyksen innoitti, oli tarkoitettu jakamaan tiedostoja ts. vain kuvia.

Käytännössä samaan polkuun tallentuu myös käyttäjä- ja tilaustiedot, joten hieman pääsee vuotamaan.

retu · « **Vastaus #5 :** 25.10.16 - klo:13.14 »

Lainaus käyttäjältä: JA5U - 25.10.16 - klo:07.31

Käytännössä samaan polkuun tallentuu myös käyttäjä- ja tilaustiedot, joten hieman pääsee vuotamaan.

Jos tarkoitat että tiedostoista selviää käyttäjätunnuksia, niin se ei kyllä kuulosta hyvältä.

nm · « **Vastaus #6 :** 25.10.16 - klo:14.51 »

Joo, tuskinpa niitä tilaustietoja muutenkaan on tarkoitus julkisesti levitellä, eli ei ollenkaan hyvä.

Ubuntu Suomen keskustelualueet

Uutiset:

Kirjoittaja Aihe: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D (Luettu 4639 kertaa)

JA5U

Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D

retu

Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D

JA5U

Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D

nm

Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D

JA5U

Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D

retu

Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D

nm

Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D