Блог старого компьютера

Блог старого компьютера


Главная Разное Запрет выполнения скриптов в папке

Запрет выполнения скриптов в папке

03.04.2013 13:56 Администратор Разное
Печать PDF
У каждого сайта есть специальная папка отведенная под изображение сайта. В эту папку обычно складываются изображения от новостных материалов, аватарки пользователей и.тд. Вообщем как правило эта папка доступна на запись и содержит только изображения. Так как папка доступна на запись то профессиональный злоумышленник практически с легкостью сможет загрузить в эту папку свой файл, и скорее всего это будет совсем не изображение, а какой то недоброжелательный скрипт.

Наша цель это не дать ему загрузить свой файл путем различный проверок в скриптах загрузки, и вторая задача обезопасить папку от выполнения скрипта в случае если загрузка каким то образом состоялась. Про первую цель говорить в данной теме мы не будем, а вот второй уделим несколько ценных минут, тем более что сейчас довольно полпулырным ремеслом ставл взлом популярных cms через их уязвимости.

Запрещать выполнение скриптов в определенной папке мы будем с помощью htaccess файла. Для этого в папку которая предназначена для хранения картинок либо, для хранения каких либо других неисполняющих файлов создадим и положим файл .htaccess. Прошу обратить внимание что название файла начинается с точки (в виндовсе назвать файл таким путем не выйдет, для этого необходимо будет воспользоваться каким нибудь иным диспетчером файлов, например total comander).

В данный файл вписываем (вставляем) следующие строки:

<Files ~ "\.(php|cgi|pl|php3|php4|php5|php6|phps|phtml|shtml|py)$">
Deny from all
</Files>

 Данный код содержит перечисление всех (а если и не все то поправьте меня, каке знал - такие собрал) расширений скриптов выполнение которых  необходимо запретить в папке.

После загрузки данного файла киньте какой нибудь простой скрипт (например php срипт который выводит надпись на экран) в эту папку и попробуйте выполнить, если все сделано правильно то у вас ничего не выйдет, если у вас не вышло значит что и злоумышленник останется с красным (возможн синим) носом. После можно попробовать открыть какое то изображение, оно должно у нас отлично отображаться.

Так же хочу дать небольшой совет, назначте данному файлу права 444 это уредет возможность его редактирования.

Помните безопасность превыше всего, не нужно говорить себе авось пронесет, лучше сейчас потратить пару минут которые будут направленны на улучшение безопасности сайта чем потом несколько часов чтоб выковырять виртуозно спрятанный код злоумышленника с сайта.

Комментарии  

 
0 #2 Administrator 25.05.2015 17:14
Цитирую Таня:
Здравствуйте,
у меня в каталоге с изображениями несколько папок с картинками, файл .htaccess размещать в каждой папке или только в главном каталоге?

В каждой папке
Цитировать
 
 
0 #1 Таня 08.12.2014 08:50
Здравствуйте,
у меня в каталоге с изображениями несколько папок с картинками, файл .htaccess размещать в каждой папке или только в главном каталоге?
Цитировать
 

Добавить комментарий


Защитный код
Обновить

Поиск

Голосование

Что Вы думаете на счет битрикса?
 

Все материалы раздела