» » » Закриваємо уразливості в DLE

Закриваємо уразливості в DLE

Закриваємо уразливості в DLE
Як підвищити безпеку сайту на DLE і які уразливості існують у цієї платформи? Одна дуже серйозна уразливість - це можливість заливати PHP шелли прямо на сервер.

Що ж це таке ? PHP шелли являють собою скрипт , який може працювати на вашому сервері і змінювати будь файли, доступні для запису. А ще скрипти ці можуть прочитати зміст файлів , що відповідають за конфігурації та налаштування , в результаті чого зловмисник отримає доступ до вашої бази даних або навіть до адмін- панелі сайту . Як же ці шелли потрапляють на наш сервер?

Зловмисник заходить на сайт і шукає різні уразливості в самому движку DLE , в модулях , які встановлені на сайт , хаках та інших скриптах . Але у Шелл є один недолік. Їх не можна залити в будь-яку папку на сервері. Заливаються вони лише в ті папки , де стоять права на запис. У DataLife Engine права на запис стоять у таких папок , як / uploads / і / templates / , а також у всіх вкладених в них папках . Якщо у цих папок прибрати права на запис , то ви не зможете ні змінити файли свого шаблону , ні закачати картинки \ файли і тому подібне.

Зазвичай саме в ці папки злоуммишленнікі і закачують шелли , коли виявляють пролом в тому чи іншому місці сайту . Але не впадайте у відчай , дорогі мої , дані татка можна захистити від всякого роду нападок , і зробити це досить просто.

Розміщуємо в папках / uploads / і / templates / файлик . Htaccess , в який прописуємо (зазвичай , цей файл вже є в даних папках , просто відредагуйте його ) :
php_flag engine  off


Цей код зробить використання PHP інтерпретатора при спробі звернення до PHP файлів, які знаходяться в цих папках і у вкладених в них папках , неможливим. Навіть якщо зловмисник спробує залити в ці папки шкідливий файл , то буде дуже засмучений , коли не побачить жодного результату. Бо цей файл попросту не буде запущений і виконаний сервером.

Правда, не у всіх хостингах працює наведений нижче код , бо багато хостинг- провайдери забороняють керувати таким параметром через . Htaccess , але не засмучуйтеся , дорогі мої . Для таких випадків є інший код . Його потрібно прописати в . Htaccess , що знаходяться в тих же папках ( вище писав) .

<FilesMatch "\.(php|php3|php4|php5|php6|phtml|phps)$|^$">
   Order allow,deny
   Deny from all
</FilesMatch>


Цей код заборонить безпосередньо звертатися до PHP файлів, які знаходяться в папках uploads і templates.

В принципі, це все, що я хотів сказати. Завдяки таким нескладним маніпуляціям можна трохи підвищити безпеку свого сайту і спати ночами більш спокійно


dle
645 29.11.13



Напівжирний Нахилений текст Підкреслений текст Перекреслений текст | Вирівнювання по лівому краю По центру Вирівнювання по правому краю | Вставка смайликів Вибір кольору | Прихований текст Вставка цитати Перетворити вибраний текст з транслітерації в кирилицю Вставка спойлеру