Protecção de páginas web

Originally posted by Elohim
por exemplo, os ficheiros .htpasswd e
.htaccess, que no ambiente UNIX permitem a adição de utilizadores e palavras password. Não serviriam de nada as permissões dos ficheiros, já que o wget lhes acedia como se fosse root.
Clicar para expandir...

Acabaste de descobrir uma nova forma de rootar o Apache...
Depois podes-me explicar como ganhas root, mesmo ganhando acesso aos ficheiro .htpasswd e .htaccess.O html deve ter ganho capacidades nunca vistas...
Especialmente não estando o servidor a correr como root (como nunca deve acontecer...).
 
Originally posted by Tafinho
Nada que não se resolva com wget ...
Clicar para expandir...

Eu não mandei "bocas para o ar" uma vez que disseste a frase anterior, logo, têm que se considerar as políticas de segurança.

Em segundo lugar, ao falares de Apache já estás a restringir aos servidores com Apache. Quanto a ser root com Apache é outra história. Já entrei em sistemas usando PHP (executado pelo Apache) que me dava acesso aos ficheiros /etc/passwd e /etc/shadow, e a partir daí usar o mesmo método para descifrar as passwords do .htpasswd (estamos a fugir ao tópico, mas este tb é interessante, eheh), que é o da força bruta.

Mas se tiveres um servidor só com HTTP deamon a correr (porta 80) o wget, ou qq outro cliente, só pode aceder a essa porta, e usar o protocolo HTTP. Como deves saber, este protocolo começa com um "handshake", e, posteriormente, o cliente faz sucessivos pedidos "GETs ou PUTs" de objectos. E não existe nenhum "GET *" , por exemplo, que devolve todos os objectos de uma directoria. Ainda não vi o código fonte do wget, mas suponho que use o protocolo HTTP.

Mas concordo que ocultar o nome do ficheiro não é das formas mais seguras, claro. Proponho parar esta discussão neste tópico. Se quiseres inicia um para este tema! :)
 
Originally posted by Elohim
Já entrei em sistemas usando PHP (executado pelo Apache) que me dava acesso aos ficheiros /etc/passwd e /etc/shadow, e a partir daí usar o mesmo método para descifrar as passwords do .htpasswd (estamos a fugir ao tópico, mas este tb é interessante, eheh), que é o da força bruta.
Clicar para expandir...

Eis porque não uso PHP..
Falei no Apache por 68% de todos os servidores são Apache...

Tirando isso, i rest my case.
 
Originally posted by Tafinho
(...)Falei no Apache por 68% de todos os servidores são Apache(...)
Clicar para expandir...

netcraft? :D :D

btw: nem vale a pena tentares proteger com javascript. tal como o super disse, demora um pouco mais de tempo para se ver o source code...mas dá para ver.
 
Originally posted by Praetor
netcraft? :D :D

btw: nem vale a pena tentares proteger com javascript. tal como o super disse, demora um pouco mais de tempo para se ver o source code...mas dá para ver.
Clicar para expandir...

e experimentem desligar o javascript no browser... :D LOLADA

quanto ao PHP... não ser seguro ???? por isso é que não uso ???? e ASP ??? Java ??? Javascript ??? perl ????

é tudo o mesmo .... são linguagens que se n~ºao forem bem programadas dá gralha

se virem uma página com formulários e se forem em php, uma coisa sempre gira de se fazer é colocar num campo do formulário código php... e esperar para ver...

existem carradas de funções para evitar isto... mas muitos programadores esquecem-se.

Quanto ao proteger directorios com .htaccess... não se esqueçam que os ficheiros htaccess e htpasswd podem ter outros nomes, e o htpasswd fora dos directorios web.... e assim fika mais dificil....

A melhor segurança é eliminar logo os ficheiros html de erro para evitar que a versão do apache seja emitida.
Depois fechar a cena de listar os directorios... basicamente aquilo que o sapo faz....

Bem acho que é tudo.... se nºao for eu cpompleto depois
 
Originally posted by avantix
quanto ao PHP... não ser seguro ???? por isso é que não uso ???? e ASP ??? Java ??? Javascript ??? perl ????
Clicar para expandir...

Comparar Javascript com PHP , Perl e ASP é no mínimo cómico e revelador de um total desconhecimento do assunto.

Quanto a faltas de segurança, tanto o ASP como o PHP têm bugs que provocam falhas de segurança independentes do programador, o que já não acontece com o Perl....
 
Para o Apache mostrar o conteúdo do directório, tem que estar configurado para isso.


Quanto à protecção em causa, estamo-nos a esquecer de uma coisa. Quem é que vai aceder à página em questão?
É que para 99,9% dos cibernautas, chega um aviso a dizer "se você clicar com o botão direito do rato, será infectado com um vírus que lhe formatará os CDs todos em redor do computador".

E apesar de quase toda a gente conseguir fazer um site, poucos se atrevem a meter o nariz no html.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo