Autore Topic: Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento (Letto 4847 volte)

deltafidesign · « **il:** 18 Set 2013, 08:38:54 »

Buongiorno a tutti,

vorrei discutere qui di come poter risolvere (risolvere... ) una questione sull'accesso a files e cartelle di Joomla.

Allora, se per esempio digitiamo: www.ilsitodiqualcuno.cox/administrator/components/com_content/content.xml

possiamo notare che nella maggior parte dei casi viene fuori il contenuto del file che ci dice per esempio la versione utilizzata di Joomla! .

Ora, la cosa più semplice che mi viene in mente è quella di "proteggere" (proteggere...) l'intera cartella administrator da occhi indiscreti con htpasswd.

Poi però mi chiedo, è possibile impostare correttamente permessi in modo tale che la cosa funzioni come su joomla.it senza compromettere la funzionalità di componenti, moduli, plugins, templates? Qui su joomla.it, per esempio, se provate a digitare lo stesso indirizzo di cui sopra viene fuori un messaggio Forbidden.

Come fare?

ADD:

Aggiungo che per esempio:

http://www.joomla.org/administrator/components/com_content/content.xml mostra il contenuto

mentre

http://www.extensions.joomla.org/administrator/components/com_content/content.xml da Forbidden.

così, per curiosità...

giusebos · « **Risposta #1 il:** 18 Set 2013, 10:51:56 »

così per curiosità cosa ci fai con il contenuto di quel file xml?
Altri ne vedi tipo i php?

deltafidesign · « **Risposta #2 il:** 18 Set 2013, 11:17:07 »

Ci fai ben poco, guardi solo che versione c'è installata di Joomla! (grossolanamente).

No, i php non restituiscono il codice ma solo una pagina bianca.

Ecco... mi piacerebbe adottare una soluzione "semplice" e indolore per evitare situazioni simili senza utilizzare htpasswd per esempio e senza mettermi a settare singolarmente files o cartelle magari ritrovandomi poi in seguito incasinato con estensioni che danno errori proprio a causa di queste azioni.

Any idea?

giusebos · « **Risposta #3 il:** 18 Set 2013, 11:21:54 »

quindi hai un non problema se ho capito bene.

ma forse vuoi solo passare del tempo.
Non sono un grande esperto, però so che joomla è usato e sviluppato da migliaia di utenti in tutto il mondo.
Ora che solo tu nel mare magum degli sviluppatori abbia "scoperto" questa "falla" mi fa un po preoccupare: forse dovrei passare a wordpress?

deltafidesign · « **Risposta #4 il:** 18 Set 2013, 11:28:30 »

si, credo che sia un non problema che un mio collega definirebbe "sei il solito rompi..."

Ora, come faccio a far si che non sia possibile accedere a quel file? (come ad altri) come su joomla.it per esempio senza pregiudicare funzionalità?

mau_develop · « **Risposta #5 il:** 18 Set 2013, 13:06:46 »

non puoi

giusebos · « **Risposta #6 il:** 18 Set 2013, 13:29:41 »

se io ero tuo amico, ti avrei detto: ma non hai altro da fare?

deltafidesign · « **Risposta #7 il:** 18 Set 2013, 13:54:36 »

Capisco...

deltafidesign · « **Risposta #8 il:** 18 Set 2013, 14:48:13 »

Potrei usare questo nel .htaccess...

<Files ~ "\.xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>

<Files "sitemap.xml">
Order allow,deny
allow from all
</Files>

Però... sarebbe una bella rottura di scatole andarsi a spulciare le sitemap per esempio o altri files da consentire...

Mi sa che non c'è altra soluzione...

mau_develop · « **Risposta #9 il:** 18 Set 2013, 20:22:38 »

Citazione da: giusebos - 18 Set 2013, 11:21:54

quindi hai un non problema se ho capito bene.

..il vero problema è quello che dice giusebos... stai facendo una fatica della madonna per crearti un problema perchè in realtà sapere che versione hai è un attimo senza leggere quel file e quel file ce l'hanno tutti quindi se uno proprio volesse leggerlo basta che scarica un pacchetto joomla e lo guarda.

deltafidesign · « **Risposta #10 il:** 19 Set 2013, 08:31:43 »

Si M_W_C, sono daccordo con quello che dici, è assolutamente un "non problema" che non ha senso che mi costruisca.
Vero è che su joomla.it, joomla.org e tanti altri siti questa pratica è applicata (intendo quella di disabilitare tramite .htaccess la lettura dei file .xml o altri eventualmente) e mi ricordo che tempo fa c'era anche un articolo o un avviso a tal proposito, quindi o si saranno posti anche loro inutili problemi, oppure semplicemente hanno scelto di adottare un metodo, più che una soluzione.

Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie, per carità, ma mi piace comunque approfondire aspetti e questioni che se da un lato non servono a granchè sono comunque un buon esercizio (oltre che una delle tante varie best practices) che dovrebbero essere applicate come "metodo di sicurezza", consapevole del fatto che la sicurezza non è appunto una questione esclusivamente pratica ma di metodo.

Grazie per la disponibilità sull'argomento, vi auguro una buona giornata!

mau_develop · « **Risposta #11 il:** 19 Set 2013, 10:44:13 »

mi piacerebbe tu continuassi qs pensiero che hai interrotto

-------------------------------
Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie.....
----------------------------------

.... ma serve per.... ?
Dopodichè hanno senso curiosità, tricks, workaround....

in J1.5 c'era qs nell'htaccess:
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>

deltafidesign · « **Risposta #12 il:** 19 Set 2013, 11:17:40 »

Serve per impedire di conoscere la versione di Joomla! o di una estensione installata direttamente leggendo quei files. Che poi ci siano altri modi per arrivarci anche se ti impedisco la lettura diretta è un altro discorso...

Credo che sia sempre il solito discorso... spranghi tutte le finestre e i portoni e lasci aperta la porta dello scantinato magari...

deltafidesign · « **Risposta #13 il:** 19 Set 2013, 11:23:17 »

Ho dimenticato di aggiungere, ma qui non sono certo che così facendo sia possibile in qualche modo limitare eventuali xml injection... qui mi fermo per non dire boiate...

giusebos · « **Risposta #14 il:** 19 Set 2013, 11:27:47 »

Citazione da: deltafidesign - 19 Set 2013, 11:17:40

Credo che sia sempre il solito discorso... spranghi tutte le finestre e i portoni e lasci aperta la porta dello scantinato magari...

Non credo, tu stai pensando in senso assoluto e sbagli. Questa è solo una discussione accademica, un esercizio mentale, che per poter continuare deve essere suffragata da test su un sito on line.

Fai dei test, e se riscontri che i tuoi dubbi sono fondati segnalali al gruppo di sviluppo.

deltafidesign · « **Risposta #15 il:** 19 Set 2013, 11:31:03 »

Ok, grazie per la risposta giusebos.

mau_develop · « **Risposta #16 il:** 19 Set 2013, 14:29:27 »

...si ma devi chiarirti le idee però

------------------------------------------
Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie
----------------------------------------------------------
Serve per impedire di conoscere la versione di Joomla! o di una estensione installata direttamente leggendo quei files.
-------------------------------------------

Una volta che sai la versione di joomla o del componente installato in che modo la sicurezza viene compromessa?

deltafidesign · « **Risposta #17 il:** 19 Set 2013, 14:41:28 »

Credo di avere le idee chiare su quelle due frasi che hai citato e le ribadisco. Prova a rileggerle bene. Una volta che conosco che hai una estensione non aggiornata perché so quale versione hai e conosco il bug di cui è affetta quella versione credo che possa essere un problema per un eventuale attacco. O sbaglio? Certo potrei anche provare a casaccio... ma se già ti dico dove è la falla... bho... dimmi che mi sbaglio.

mau_develop · « **Risposta #18 il:** 19 Set 2013, 15:18:10 »

ti sbagli

--------------------------------------
Una volta che conosco che hai una estensione non aggiornata
----------------------------------------
questo è un problema di sicurezza, ....allora perchè non cerchi un sistema per rimanere sempre aggiornato piuttosto che cercare tappeti sotto cui mettere la polvere?

e visto che ammetti che non è l'unico modo per vedere se hai questi problemi nel caso tu avessi comunque un estensione bucata non hai eliminato il pericolo

Non ha nemmeno senso vista dalla parte del malvagio a meno di avere il must di non lasciare log, allora il fingerprinting può essermi utile; ma stiamo parlando di un malvagio con un target e dei paletti precisi... capita alla NASA...

Altrimenti vedo che un sito è fatto in joomla, so ad es. che con un option=com_content&category=ti_buco esploito il sito, chi me lo fa fare di vedere che versione hai e se l'estensione è aggiornata? ... mica mi hai assunto per un report... lancio l'esploit e se va va sennò vedrò un errore.
Chi è quel pazzo che si va a spulciare gli xml di un sito per vedere se è vulnerabile quando hai già la risposta lanciando l'esploit?

deltafidesign · « **Risposta #19 il:** 19 Set 2013, 17:17:41 »

Si... sono ipotesi assurde... ma possibili. Grazie ancora per le risposte. Buona serata.

Autore Topic: Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento (Letto 4847 volte)

mau_develop

mau_develop

mau_develop

mau_develop

mau_develop