Joomla.it Forum
Non solo Joomla... => Sicurezza => : deodio83 02 Apr 2014, 14:34:57
-
Salve a tutti.
Potrei sapere che fa questa parte di file htaccess?
Non ci sono strumenti validi per testarlo senza prima caricarlo... perciò vorrei chiedere se la mia interpretazione è corretta o meno.
Secondo me se nella request uri è presente un file .php o .ini o .xml contenuto all'interno delle cartelle elencate allora si viene riderezionati alla pagina index.php CORRETTO ? :D
RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]
RewriteCond %{REQUEST_URI} \/components\/ [OR]
RewriteCond %{REQUEST_URI} ^\/includes\/|^\/administrator\/includes\/ [OR]
RewriteCond %{REQUEST_URI} \/language\/ [OR]
RewriteCond %{REQUEST_URI} \/libraries\/ [OR]
RewriteCond %{REQUEST_URI} \/modules\/ [OR]
RewriteCond %{REQUEST_URI} \/plugins\/ [OR]
RewriteCond %{REQUEST_URI} \/templates\/ [OR]
RewriteCond %{REQUEST_URI} \/xmlrpc\/
RewriteRule ^(.*)$ index.php [F,L]
-
UP per me...
cortesemente rispondetemi vorrei capire quali inoltre se lo script fa la stessa cosa di quest altro.
RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]
RewriteCond %{REQUEST_URI} \/components\/ [OR]
RewriteCond %{REQUEST_URI} ^\/includes\/|^\/administrator\/includes\/ [OR]
RewriteCond %{REQUEST_URI} \/language\/ [OR]
RewriteCond %{REQUEST_URI} \/libraries\/ [OR]
RewriteCond %{REQUEST_URI} \/modules\/ [OR]
RewriteCond %{REQUEST_URI} \/plugins\/ [OR]
RewriteCond %{REQUEST_URI} \/templates\/ [OR]
RewriteCond %{REQUEST_URI} \/xmlrpc\/
RewriteRule .* serate/index.php [F,L] o dovrei mettere [L,F]
-
Ciao deodio83,
a occhio e croce.. ma non ne sono sicuro, mi pare roba che viene dal passato... ;D dai tempi di Mambo direi.. :)
-
Quello che vorrei fare io è bloccare l'accesso diretto a file di determinate cartelle tramite il file htaccess su un sito che gestisco ...mi sembra che questo script vada bene te che dici ?
oppure se hai dei suggerimenti dimmi pure.
Grazie
-
Se ti sembra che vada bene provalo! :)
Così fdai anche da "debugger": vedi che fa, come lo fa e se ti serve o meno e in base ai tuoi test fai le apposite domande qui :)
Io credo non vada bene, ma solo la prova sul campo ce lo può dire! ;)
-
L'ho provato effettivamente cercando di accedere a file php xml ini delle cartelle incluse nello script dentro .htaccess blocca i contenuti.
Ora la domanda è questa come deve finire il RewriteRule all'ultima riga con [L,F] o [R=403,L] ?
Se te non lo sai spero che risponda qualcuno che ha conoscenze di queste scritture del file htaccess.
Grazie
-
Se ti funziona è ok, ma devi provare anche il resto delle funzioni, sia backend che frontend per evitare sorprese! ;)
R=403 rispondi con un errore 403 ovviamente
L stoppi il processo e R senza specificare niente "risponde" per default con un 302 :)
a naso quindi direi R=403... ma a naso ovviamente! ;D ;D ;D
-
Percio se metto [F,L] è corretto oppure posso mettere [L,F]
speriamo qualcuno risponda dandomi certezze... :'(
-
Prova questo
RewriteCond%{REQUEST_URI} ^/images/ [NC,OR]
RewriteCond%{REQUEST_URI} ^/media/[NC,OR]
RewriteCond%{REQUEST_URI} ^/logs/[NC,OR]
RewriteCond%{REQUEST_URI} ^/tmp/
RewriteRule.*\.(phps? |sh|pl|cgi|py)$-[F]
-
Beh non vorrei proprio stravolgere il mio script perche questo sembra blocchi altre cartelle ...che a me non servono ... vorrei semplicemente capire come terminare lo script che gia ho testato
[R=403,L] o [L,F] o [F,L]
-
Io per non saper leggere o scrivere userei [F] Forbidden altrimenti [R=403, L] mi pare ok :)
oh più di così!!! ;D
-
Le cartelle cambi nome io più che altro ti ho mostrato la struttura, ma vedi che più che bloccare le cartelle lo script ti blocca l'esecuzione dei file con le estensioni indicate.
-
lo script che mi avete postato non funziona non fa il redirect ma si blocca prima ...
-
Non hai esplicitato lo scopo, che penso sia per motivi di sicurezza, allora nulla di meglio che bloccare e basta senza offrire altre informazioni circa errori redirect che spieghino cosa o come, a mio parere solo armi per prendere contromisure da parte di chi attacca.
-
Certo il sito del ristorante che sto manutenendo ho subito un attacco e vorrei bloccare accessi diretti a determinate cartelle ....
ma il tuo script non mi ha aiutato ..io uso http://htaccess.madewithlove.be/ per testare i file htaccess
-
Fidati che funziona, tu prova ad eseguire un file .php in una cartella elencata e vedi se lo esegue.
-
Io li leggo .phps
in ogni caso come mai alla fine il redirect finisce con [F] e non con [L,F] o simili ?
-
Quello è codice preso in rete, per lo più mi limito a testarlo e non mi chiedo il significato, se proprio mi và faccio una ricerca in rete se proprio mi serve sapere. Tu provalo o se ci tieni vai a http://httpd.apache.org/docs/2.2/howto/htaccess.html
-
beh certo io però sto cercando di capire cosa usare come parte finale del mio script che già sembra andare
[R=403,L] o [L,F] o [F,L]
qualcuno è in grado di rispondermi ? :D
-
quanta roba avete scritto ::)
[F]
Last è implicito nella direttiva; seppur pleonastico è però invalso l'uso di scrivere [L, F], magari più che altro dai non esperti (come sempre si guarda alla massa, non a chi scrive :( [size=78%]).[/size]
quanto al codice postato da tomtom, ce ne sono diverse varianti. una si può trovare anche sul mio sito in un articolo relativo alla falla di sicurezza dell'editor JCE: ovviamente è spiegato e commentato e ovviamente finisce con [F].
Secondo me se nella request uri è presente un file .php o .ini o .xml
RewriteCond %{REQUEST_URI} \.php|\.ini|\.xml [NC]
no, non vuol dire esattamente quello la regex inserita...
ciao,
marco
-
Sì infatti quel codice è preso proprio da un mio .htaccess che avevo preso proprio dal sito di marco. Mi scuso per non aver citato la fonte.
-
quanta roba avete scritto ::)
[F]
Last è implicito nella direttiva; seppur pleonastico è però invalso l'uso di scrivere [L, F], magari più che altro dai non esperti (come sempre si guarda alla massa, non a chi scrive :( [size=78%]).[/size]
quanto al codice postato da tomtom, ce ne sono diverse varianti. una si può trovare anche sul mio sito in un articolo relativo alla falla di sicurezza dell'editor JCE: ovviamente è spiegato e commentato e ovviamente finisce con [F].
no, non vuol dire esattamente quello la regex inserita...
ciao,
marco
Allora che vuol dire la regex ?
Cosa mi consigliate di mettere alla fine per il redirect con codice 403? [R=403,L] oppure [F]
-
... preso proprio dal sito di marco. Mi scuso per non aver citato la fonte.
sarai fustigato nella hall dell'hotel al prossimo joomla day ;D ;D
no, mi accontento di farti fare il discorso introduttivo in mutande davanti alle telecamere in streaming mondiale...
Allora che vuol dire la regex ?
il concetto che volevo far passare è che non è il caso di mettersi a scrivere se non si conosce la lingua... quello vuol dire 'contiene', non 'finisce con'.
Cosa mi consigliate di mettere alla fine per il redirect con codice 403? [R=403,L] oppure [F]
[F] te lo ho detto ed ho anche spiegato il perché, e dai... leggere!
ciao,
marco
-
Ok metto [F] ma il significato è simile / equivalente dato che [F] è forbidden e la [L] interrompe no ?
Riporto un pezzo di codice che mi hai suggerito te Marco.
RewriteCond %{HTTP_USER_AGENT} ^libwww-perl [NC]
RewriteRule .* - [L,F]
Allora anche in questo caso è usato in maniera scorretta [L,F] ...
non ci sto capendo nulla ... :(
-
parti da qui: http://www.treccani.it/vocabolario/pleonastico/
-
ahaahahah :D :D mi stavo solo riferendo alla tua affermazione :D dato che lo script me l'hai dato sempre te... non sarebbe piu facile scrivere CHIARAMENTE la soluzione invece che allungare la pappa ???
http://dizionari.corriere.it/dizionario_italiano/C/contraddittorio.shtml
-
Caro marco mi sà che adesso preferiresti farti fustigare tu o fare tu il discorso in mutande al mio posto. ;D ;D ;D. Se non dai spiegazioni adeguate se non scrivi un articolo o addirittura una tesi illustrando la tua soluzione non te la cavi facilmente con l'amico deodio83. :)
-
ti ho già detto che secondo me stai facendo una cosa sbagliata, ergo no, non posto ciò che secondo me è errato.
comunque non c'è contraddizione tra asserire che un concetto è pleonastico ed esprimerlo egualmente: al massimo è essere prolissi, non contraddittori né, tanto meno, scorretti.
e come ho detto prima, qui è stato scritto troppo. buon week end a tutti.
ciao,
marco
-
Caro marco mi sà che adesso preferiresti farti fustigare tu o fare tu il discorso in mutande al mio posto. ;D ;D ;D .
come mi conosci ;D ;D
ciao,
marco
-
ti ho già detto che secondo me stai facendo una cosa sbagliata, ergo no, non posto ciò che secondo me è errato.
comunque non c'è contraddizione tra asserire che un concetto è pleonastico ed esprimerlo egualmente: al massimo è essere prolissi, non contraddittori né, tanto meno, scorretti.
e come ho detto prima, qui è stato scritto troppo. buon week end a tutti.
ciao,
marco
In un altro post mi avevi mandato il codice con il finale [F,L] ...mi dite cortesemente (senza illustrare la list dalle parole che vi siete imparati oggi rif. simpson) qual'è la cosa giusta ??
[F] se non ho capito male dato che [L] è intrinseco al comando...
di seguito la tua risposta mio caro :D
io farei:RewriteCond %{HTTP_USER_AGENT} ^libwww-perl [NC]RewriteRule .* - [L,F]subito dopo RewriteEngine On. il ^ (inizia con) vedi tu se lasciarlo o meno.ciao