Jsecure + .htacess e .htpassw in cartella administrator

[umbe81]

Domanda posta da altri ma non ho visto risposte mi pare...
Anche se sono ancora in locale Win e non ho potuto fare le prove con l'.htaccess 'vero', mi chiedo se l'accesso a www.miosito.it/administrator/?miapsw mi possa condurre a una schermata (nn ho idea di come sia fatta ma da qualche parte ho letto che dovrebbe essere così!) in cui devo inserire usr+psw dell'.htaccess .htpassword e poi acceddere alla form di login per il pannello administrator.

Mi pare strano che funzioni...o cmq se lo fosse mi sa che da qualche parte dovrei scrivere in chiaro il campo 'miapsw' vanificando in parte il lavoro di Jsecure.

E' capitata a nessuno una roba così?
Grazie 1000
 

[mau_develop]

non capisco cosa sia un htaccess vero...

ma se ti pare strano che funzioni perchè non provi?

Io non so se è un modo giusto o meno, mi baso su quello che dici:

se proteggi una cartella con pw ovviamente quando comparirà il prompt dove inserire nome e pw non userai gli stessi del pannello admin.

M.

[umbe81]

Sì scusa...per "vero" intendevo rinominato da htaccess.txt a .htaccess

Se proteggi una cartella con pw ovviamente quando comparirà il prompt dove inserire nome e pw non userai gli stessi del pannello admin.

Si questo mi torna, non riesco a capire come dalla cartella /administrator dopo aver inserito usr+psw dell'htaccess si possa passare alla cartella protetta da Jsecure tipo /administrator/?pswJsecure...
Comunque ad ogni modo basta fare un paio di tentativi, era per sapere se le due soluzioni potevano convivere.

Grazie 1000

[mau_develop]

era per sapere se le due soluzioni potevano convivere.
------------------------------------------------------

ah, non lo avevo capito... ma che hai il sito della banca di italia?

guarda che non serve a nulla jsecure e proteggere con htaccess come vuoi fare.
Più metti ammennicoli e più aumenti le possibilità che esistano "passaggi".

Inoltre (non ricordo se già esista) bastano due righe per controllare il flood del pannello, se lo stesso ip fa richieste "a treno" và in sleep o lo rediretti sul sito ( ti aumentano le visite ed entri nella top 100 joomla!).

Se c'è proprio un'attacco che credo non farei mai su joomla è il bruteforce aldilà delle protezioni.

Inoltre i buchi di joomla stanno negli addons solitamente, trovato il buco fa na sega jsecure e lo scudo spaziale, ti esploito la pw da frontend ti pare?

Tenete joomla aggiornato, backuppate, e non installate cose che non siano più che usate (e sono anche loro da aggiornare, non si aggiornano con joomla).

M

Il codice più sicuro è quello scritto bene.
Tutti gli errori devono essere gestiti e cambiare il nome delle tabelle del db è già una bella cosa.

Se la pagina non restituisce errori, tentare blindsql diventa inutile e con le inj normali devi sapere il nome delle tabelle.