Back to top

Autore Topic: Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento  (Letto 4848 volte)

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Buongiorno a tutti,

vorrei discutere qui di come poter risolvere (risolvere... ) una questione sull'accesso a files e cartelle di Joomla.

Allora, se per esempio digitiamo: www.ilsitodiqualcuno.cox/administrator/components/com_content/content.xml

possiamo notare che nella maggior parte dei casi viene fuori il contenuto del file che ci dice per esempio la versione utilizzata di Joomla! .

Ora, la cosa più semplice che mi viene in mente è quella di "proteggere" (proteggere...) l'intera cartella administrator da occhi indiscreti con htpasswd.

Poi però mi chiedo, è possibile impostare correttamente permessi in modo tale che la cosa funzioni come su joomla.it senza compromettere la funzionalità di componenti, moduli, plugins, templates? Qui su joomla.it, per esempio, se provate a digitare lo stesso indirizzo di cui sopra viene fuori un messaggio Forbidden.

Come fare?

ADD:

Aggiungo che per esempio:

http://www.joomla.org/administrator/components/com_content/content.xml mostra il contenuto

mentre

http://www.extensions.joomla.org/administrator/components/com_content/content.xml da Forbidden.

così, per curiosità... :)
« Ultima modifica: 18 Set 2013, 09:13:07 da deltafidesign »

Offline giusebos

  • Fuori controllo
  • *
  • Post: 21748
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #1 il: 18 Set 2013, 10:51:56 »
così per curiosità cosa ci fai con il contenuto di quel file xml?
Altri ne vedi tipo i php?
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #2 il: 18 Set 2013, 11:17:07 »
Ci fai ben poco, guardi solo che versione c'è installata di Joomla! (grossolanamente).

No, i php non restituiscono il codice ma solo una pagina bianca.

Ecco... mi piacerebbe adottare una soluzione "semplice" e indolore per evitare situazioni simili senza utilizzare htpasswd per esempio e senza mettermi a settare singolarmente files o cartelle magari ritrovandomi poi in seguito incasinato con estensioni che danno errori proprio a causa di queste azioni.

Any idea?

Offline giusebos

  • Fuori controllo
  • *
  • Post: 21748
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #3 il: 18 Set 2013, 11:21:54 »
quindi hai un non problema se ho capito bene.  ;)

ma forse vuoi solo passare del tempo.
Non sono un grande esperto, però so che joomla è usato e sviluppato da migliaia di utenti in tutto il mondo.
Ora che solo tu nel mare magum degli sviluppatori abbia "scoperto" questa "falla" mi fa un po preoccupare: forse dovrei passare a wordpress?
« Ultima modifica: 18 Set 2013, 13:28:18 da giusebos »
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #4 il: 18 Set 2013, 11:28:30 »
 :) si, credo che sia un non problema che un mio collega definirebbe "sei il solito rompi..."

Ora, come faccio a far si che non sia possibile accedere a quel file? (come ad altri) come su joomla.it per esempio senza pregiudicare funzionalità?

mau_develop

  • Visitatore
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #5 il: 18 Set 2013, 13:06:46 »
non puoi

Offline giusebos

  • Fuori controllo
  • *
  • Post: 21748
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #6 il: 18 Set 2013, 13:29:41 »
se io ero tuo amico, ti avrei detto: ma non hai altro da fare?  ;D
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #7 il: 18 Set 2013, 13:54:36 »
Capisco...  ???

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #8 il: 18 Set 2013, 14:48:13 »
Potrei usare questo nel .htaccess...

<Files ~ "\.xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>

<Files "sitemap.xml">
Order allow,deny
allow from all
</Files>

Però... sarebbe una bella rottura di scatole andarsi a spulciare le sitemap per esempio o altri files da consentire...

Mi sa che non c'è altra soluzione...  :(
« Ultima modifica: 18 Set 2013, 14:58:14 da deltafidesign »

mau_develop

  • Visitatore
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #9 il: 18 Set 2013, 20:22:38 »
quindi hai un non problema se ho capito bene.  ;)
..il vero problema è quello che dice giusebos... stai facendo una fatica della madonna per crearti un problema perchè in realtà sapere che versione hai è un attimo senza leggere quel file e quel file ce l'hanno tutti quindi se uno proprio volesse leggerlo basta che scarica un pacchetto joomla e lo guarda.

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #10 il: 19 Set 2013, 08:31:43 »
Si  M_W_C, sono daccordo con quello che dici, è assolutamente un "non problema" che non ha senso che mi costruisca.
Vero è che su joomla.it, joomla.org e tanti altri siti questa pratica è applicata (intendo quella di disabilitare tramite .htaccess la lettura dei file .xml o altri eventualmente) e mi ricordo che tempo fa c'era anche un articolo o un avviso a tal proposito, quindi o si saranno posti anche loro inutili problemi, oppure semplicemente hanno scelto di adottare un metodo, più che una soluzione.

Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie, per carità, ma mi piace comunque approfondire aspetti e questioni che se da un lato non servono a granchè sono comunque un buon esercizio (oltre che una delle tante varie best practices) che dovrebbero essere applicate come "metodo di sicurezza", consapevole del fatto che la sicurezza non è appunto una questione esclusivamente pratica ma di metodo.

Grazie per la disponibilità sull'argomento, vi auguro una buona giornata!  :)

mau_develop

  • Visitatore
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #11 il: 19 Set 2013, 10:44:13 »
:) mi piacerebbe tu continuassi qs pensiero che hai interrotto

-------------------------------
Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie.....
----------------------------------

.... ma serve per.... ?
Dopodichè hanno senso curiosità, tricks, workaround....

in J1.5 c'era qs nell'htaccess:
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #12 il: 19 Set 2013, 11:17:40 »
Serve per impedire di conoscere la versione di Joomla! o di una estensione installata direttamente leggendo quei files. Che poi ci siano altri modi per arrivarci anche se ti impedisco la lettura diretta è un altro discorso...  :)

Credo che sia sempre il solito discorso... spranghi tutte le finestre e i portoni e lasci aperta la porta dello scantinato magari...
« Ultima modifica: 19 Set 2013, 11:19:21 da deltafidesign »

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #13 il: 19 Set 2013, 11:23:17 »
Ho dimenticato di aggiungere, ma qui non sono certo che così facendo sia possibile in qualche modo limitare eventuali xml injection... qui mi fermo per non dire boiate...  :)

Offline giusebos

  • Fuori controllo
  • *
  • Post: 21748
  • Sesso: Maschio
  • Giuseppe Serbelloni Mazzanti Viendalmare
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #14 il: 19 Set 2013, 11:27:47 »
Credo che sia sempre il solito discorso... spranghi tutte le finestre e i portoni e lasci aperta la porta dello scantinato magari...

Non credo, tu stai pensando in senso assoluto e sbagli. Questa è solo una discussione accademica, un esercizio mentale, che per poter continuare deve essere suffragata da test su un sito on line.

Fai dei test, e se riscontri che i tuoi dubbi sono fondati segnalali al gruppo di sviluppo.
su www.icagenda.it guide e tutorial con esempi di chronoforms e chronoconnectivity

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #15 il: 19 Set 2013, 11:31:03 »
Ok, grazie per la risposta giusebos.

mau_develop

  • Visitatore
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #16 il: 19 Set 2013, 14:29:27 »
...si ma devi chiarirti le idee però :)

------------------------------------------
Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie
----------------------------------------------------------
Serve per impedire di conoscere la versione di Joomla! o di una estensione installata direttamente leggendo quei files.
-------------------------------------------

Una volta che sai la versione di joomla o del componente installato in che modo la sicurezza viene compromessa?

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #17 il: 19 Set 2013, 14:41:28 »
Credo di avere le idee chiare su quelle due frasi che hai citato e le ribadisco. Prova a rileggerle bene. Una volta che conosco che hai una estensione non aggiornata perché so quale versione hai e conosco il bug di cui è affetta quella versione credo che possa essere un problema per un eventuale attacco. O sbaglio? Certo potrei anche provare a casaccio... ma se già ti dico dove è la falla... bho... dimmi che mi sbaglio.

mau_develop

  • Visitatore
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #18 il: 19 Set 2013, 15:18:10 »
ti sbagli

--------------------------------------
Una volta che conosco che hai una estensione non aggiornata
----------------------------------------
questo è un problema di sicurezza, ....allora perchè non cerchi un sistema per rimanere sempre aggiornato piuttosto che cercare tappeti sotto cui mettere la polvere?

e visto che ammetti che non è l'unico modo per vedere se hai questi problemi nel caso tu avessi comunque un estensione bucata non hai eliminato il pericolo

Non ha nemmeno senso vista dalla parte del malvagio a meno di avere il must di non lasciare log, allora il fingerprinting può essermi utile; ma stiamo parlando di un malvagio con un target e dei paletti precisi... capita alla NASA...

Altrimenti vedo che un sito è fatto in joomla, so ad es. che con un option=com_content&category=ti_buco esploito il sito, chi me lo fa fare di vedere che versione hai e se l'estensione è aggiornata? ... mica mi hai assunto per un report... lancio l'esploit e se va va sennò vedrò un errore.
Chi è quel pazzo che si va a spulciare gli xml di un sito per vedere se è vulnerabile quando hai già la risposta lanciando l'esploit?
« Ultima modifica: 19 Set 2013, 15:51:37 da M_W_C »

Offline deltafidesign

  • Esploratore
  • **
  • Post: 102
    • Mostra profilo
Re:Sicurezza Joomla 3.x permessi file e cartelle - procedimento
« Risposta #19 il: 19 Set 2013, 17:17:41 »
Si... sono ipotesi assurde... ma possibili. Grazie ancora per le risposte. Buona serata.

 



Web Design Bolzano Kreatif