Kirjoittaja Aihe: Palvelimen konffaus ja kansiorakenne vastauksena pyyntöön ?C=M;O=D  (Luettu 6271 kertaa)

JA5U

  • Käyttäjä
  • Viestejä: 463
    • Profiili
Moi

Osaisiko joku avata, että miten Apache on konfattu, kun vastaa otsikon mukaiseen pyyntöön.
Tarkemmin
Koodia: [Valitse]
domain.fi/alikansio/?C=M;O=D
Entä mitä heikkouksia tähän liittyy muuta kuin se, että tiedostot ja kansiot on listattavissa ja luettavissa/ladattavissa?

retu

  • Käyttäjä
  • Viestejä: 949
    • Profiili
Avautuisiko mod_autoindex modulin dokumenteista?

Huomaa että sen lisäksi pitää jollain tasolla asettaa "Options +Indexes" (Se voi olla vaikka hakemistokohtainen, ei ole pakko olla web-palvelimen juuressa).

JA5U

  • Käyttäjä
  • Viestejä: 463
    • Profiili
Avautuisiko mod_autoindex modulin dokumenteista?

Huomaa että sen lisäksi pitää jollain tasolla asettaa "Options +Indexes" (Se voi olla vaikka hakemistokohtainen, ei ole pakko olla web-palvelimen juuressa).

Kyllähän tuo sen verran, että ainakin tietää uusia käteviä parametrejä tuolle :)
Varsinaisesti mitään tietoturvaan liittyvää ei äkkiseltään löytynyt.
Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.
Toki, jos tuollainen olisi ylipäätään omassa palvelimessa, niin olisin kyllä huolestunut :D

nm

  • Käyttäjä
  • Viestejä: 16428
    • Profiili
Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.

Niin. Suurin riski liittyy ehkä siihen, että hakemistolistauksen kautta hyökkääjä voi helposti saada jotain lisäinformaatiota järjestelmästä, kuten siellä ajettavista palvelinpuolen skripteistä, jos joku asetustiedosto on sijoitettu väärään paikkaan. Listaukset on syytä sallia vain niissä sijainneissa, joissa sivuston käyttäjien on tarkoitus käyttää niitä. Tiedostojen jakoon nuo ovat ihan käteviä.
« Viimeksi muokattu: 24.10.16 - klo:22.41 kirjoittanut nm »

JA5U

  • Käyttäjä
  • Viestejä: 463
    • Profiili
Kaippa se liittyy sitten pääasiassa niihin sisältöihin eikä tuosta muuta suurempaa "aukkoa" muodostu.

Niin. Suurin riski liittyy ehkä siihen, että hakemistolistauksen kautta hyökkääjä voi helposti saada jotain lisäinformaatiota järjestelmästä, kuten siellä ajettavista palvelinpuolen skripteistä, jos joku asetustiedosto on sijoitettu väärään paikkaan. Listaukset on syytä sallia vain niissä sijainneissa, joissa sivuston käyttäjien on tarkoitus käyttää niitä. Tiedostojen jakoon nuo ovat ihan käteviä.
Ehkä sekin verkkopalvelu, joka tämän kysymyksen innoitti, oli tarkoitettu jakamaan tiedostoja ts. vain kuvia.

Käytännössä samaan polkuun tallentuu myös käyttäjä- ja tilaustiedot, joten hieman pääsee vuotamaan.

retu

  • Käyttäjä
  • Viestejä: 949
    • Profiili
Käytännössä samaan polkuun tallentuu myös käyttäjä- ja tilaustiedot, joten hieman pääsee vuotamaan.
Jos tarkoitat että tiedostoista selviää käyttäjätunnuksia, niin se ei kyllä kuulosta hyvältä.

nm

  • Käyttäjä
  • Viestejä: 16428
    • Profiili
Joo, tuskinpa niitä tilaustietoja muutenkaan on tarkoitus julkisesti levitellä, eli ei ollenkaan hyvä.