Ubuntu Suomen keskustelualueet

Muut alueet => Muut käyttöjärjestelmät ja Linux-jakelut => Aiheen aloitti: JA5U - 24.10.16 - klo:17.43

Otsikko: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D
Kirjoitti: JA5U - 24.10.16 - klo:17.43
Moi

Osaisiko joku avata, että miten Apache on konfattu, kun vastaa otsikon mukaiseen pyyntöön.
Tarkemmin
Koodia: [Valitse]
domain.fi/alikansio/?C=M;O=D
Entä mitä heikkouksia tähän liittyy muuta kuin se, että tiedostot ja kansiot on listattavissa ja luettavissa/ladattavissa?
Otsikko: Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D
Kirjoitti: retu - 24.10.16 - klo:18.33
Avautuisiko mod_autoindex modulin dokumenteista (https://httpd.apache.org/docs/current/mod/mod_autoindex.html)?

Huomaa että sen lisäksi pitää jollain tasolla asettaa "Options +Indexes" (Se voi olla vaikka hakemistokohtainen, ei ole pakko olla web-palvelimen juuressa).
Otsikko: Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D
Kirjoitti: JA5U - 24.10.16 - klo:21.51
Lainaus käyttäjältä: retu - 24.10.16 - klo:18.33
Avautuisiko mod_autoindex modulin dokumenteista (https://httpd.apache.org/docs/current/mod/mod_autoindex.html)?

Huomaa että sen lisäksi pitää jollain tasolla asettaa "Options +Indexes" (Se voi olla vaikka hakemistokohtainen, ei ole pakko olla web-palvelimen juuressa).

Kyllähän tuo sen verran, että ainakin tietää uusia käteviä parametrejä tuolle :)
Varsinaisesti mitään tietoturvaan liittyvää ei äkkiseltään löytynyt.
Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.
Toki, jos tuollainen olisi ylipäätään omassa palvelimessa, niin olisin kyllä huolestunut :D
Otsikko: Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D
Kirjoitti: nm - 24.10.16 - klo:22.40
Lainaus käyttäjältä: JA5U - 24.10.16 - klo:21.51
Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.

Niin. Suurin riski liittyy ehkä siihen, että hakemistolistauksen kautta hyökkääjä voi helposti saada jotain lisäinformaatiota järjestelmästä, kuten siellä ajettavista palvelinpuolen skripteistä, jos joku asetustiedosto on sijoitettu väärään paikkaan. Listaukset on syytä sallia vain niissä sijainneissa, joissa sivuston käyttäjien on tarkoitus käyttää niitä. Tiedostojen jakoon nuo ovat ihan käteviä.
Otsikko: Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D
Kirjoitti: JA5U - 25.10.16 - klo:07.31
Lainaus käyttäjältä: nm - 24.10.16 - klo:22.40
Lainaus käyttäjältä: JA5U - 24.10.16 - klo:21.51
Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.

Niin. Suurin riski liittyy ehkä siihen, että hakemistolistauksen kautta hyökkääjä voi helposti saada jotain lisäinformaatiota järjestelmästä, kuten siellä ajettavista palvelinpuolen skripteistä, jos joku asetustiedosto on sijoitettu väärään paikkaan. Listaukset on syytä sallia vain niissä sijainneissa, joissa sivuston käyttäjien on tarkoitus käyttää niitä. Tiedostojen jakoon nuo ovat ihan käteviä.
Ehkä sekin verkkopalvelu, joka tämän kysymyksen innoitti, oli tarkoitettu jakamaan tiedostoja ts. vain kuvia.

Käytännössä samaan polkuun tallentuu myös käyttäjä- ja tilaustiedot, joten hieman pääsee vuotamaan.
Otsikko: Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D
Kirjoitti: retu - 25.10.16 - klo:13.14
Lainaus käyttäjältä: JA5U - 25.10.16 - klo:07.31
Käytännössä samaan polkuun tallentuu myös käyttäjä- ja tilaustiedot, joten hieman pääsee vuotamaan.
Jos tarkoitat että tiedostoista selviää käyttäjätunnuksia, niin se ei kyllä kuulosta hyvältä.
Otsikko: Vs: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D
Kirjoitti: nm - 25.10.16 - klo:14.51
Joo, tuskinpa niitä tilaustietoja muutenkaan on tarkoitus julkisesti levitellä, eli ei ollenkaan hyvä.