Пара вотпросов по безопасности

Discussion in 'Начало работы с Joomla (для начинающих)' started by killstels, Oct 31, 2007.

  1. Offline

    killstels Недавно здесь

    Joined:
    Oct 13, 2007
    Messages:
    64
    Likes Received:
    1
    Привет. Пара вопросов по безопасности назрело.

    1) Причина взлома №1: файл конфигурации доступен по записи

    Вся «левая» информация помещается прямо в файл configuration.php, который, как известно, загружается всегда по include перед любыми данными. В результате вместо сайта стартует та информация, которая помещается в этот файл.

    Исправления: восстановить файл configuration.php

    Защита:     снять права на запись с этого файла.

    Если по русски, значит надо в админке поставить галочку "защитить от записи"?


    Причина взлома №2:     открытые по записи директории

    В папку /administrator (если она доступна на запись!!!) записывается файл .htaccess (если он там отсутствует!!!) в котором переопределяется стартовый файл каталога: вместо index.php указывается другой файл, который тоже записывается в эту же папку. В результате, при запуске админки по пути (без явного указания имени файла), запускается «левый» файл, как правило, с турецкими или чеченскими национальными символами.

    Исправление: удалить или восстановить файл .htaccess

    Защита: следить за правами доступа или поместить в защищаемые папки файл .htaccess нулевой длины, прмещенный туда через FTP.


    Что просто в папку админа бросить файл .htacces пустого содержания??? А какие права на него? 644 или 600? Какие права вообще на эти файлы .htacces? (хост с suPHP)

    И ещё. Есть пункт - уровень безопасности 3 в админке (что-то там про сессии). Написано, что тогда не смогут заходить люди, использующие прокси. У меня регистрация-авторизация запрещена, но люди через прокси заодят. Надо включить уровень три или второй оставить?
     
    Last edited: Oct 31, 2007
    killstels, Oct 31, 2007
    #1

  2. Ads Master

     
  3. Fanamura
    Offline

    Fanamura Доброта

    Joined:
    Mar 12, 2007
    Messages:
    5,094
    Likes Received:
    158
    Gender:
    Male
    Ответ: Пара вотпросов по безопасности

    killstels,
    1. да. Еще можно через FTP поставить CMOD на этот файл 444
    2. нет, не пустой. поищите по слову htaccess, я выкладывал файл, который делает из админки пентагон. Права 444
    3. сессии оставьте.
     
    Fanamura, Oct 31, 2007
    #2
  4. Offline

    killstels Недавно здесь

    Joined:
    Oct 13, 2007
    Messages:
    64
    Likes Received:
    1
    Ответ: Пара вотпросов по безопасности

    Fanamura,
    Спасибо запомощь. А чем обусловлено оставляние сессий на уровне 2?
     
    killstels, Oct 31, 2007
    #3
  5. Fanamura
    Offline

    Fanamura Доброта

    Joined:
    Mar 12, 2007
    Messages:
    5,094
    Likes Received:
    158
    Gender:
    Male
    Ответ: Пара вотпросов по безопасности

    killstels, для статистики например пригодиться, для некоторых компонентов и модулей.
     
    Fanamura, Oct 31, 2007
    #4
< Убрать Последние новости & Популярное с главной | Как ускорить загрузку страниц >

Share This Page

Loading...