4
htaccess受保護頁面是否存在已知的缺陷?.htaccess受保護頁面的安全性如何?
我知道他們可以接受蠻力攻擊,因爲沒有任何限制可以嘗試登錄的次數。如果用戶可以上傳並執行服務器上的文件,則所有投注都將關閉...
是否還有其他.htaccess缺陷?
A
回答
5
.htaccess只是一種在每個目錄基礎上指定Apache配置指令的方法。它們允許許多不同類型的密碼保護。
如果您在談論HTTP基本驗證,那麼用戶名和密碼將以明文形式隨每個請求一起發送,並且會受到嗅探(假設您未使用SSL)。
除此之外,它們受到任何基於密碼的系統所面臨的常見問題的影響。
使用HTTP基本驗證不授予用戶上傳和執行文件的任何附加功能。如果他們已經可以做到這一點,那麼他們仍然可以做到這一點。如果他們不能,他們不能。
4
.htaccess的使用很常見,且相當安全。但是,這會使您更容易受到其他攻擊的影響,例如遠程文件文件披露漏洞。例如,下面的代碼可以用來破壞.htaccess。
include("./path/to/languages/".$_GET['lang']);
的利用應該是這樣的:
http://127.0.0.1/LFI_Vuln.php?lang=../../../.htaccess
這將導致的.htaccess的內容顯示給攻擊者。
相關問題
- 1. 保護公衆頁面的安全
- 2. 如何獲取受保護的頁面Node-ID登錄頁面?
- 3. Subversion和「受保護/安全」文件
- 4. MediaWiki中的受保護頁面
- 5. AppMaker中受密碼保護的頁面
- 6. 閱讀受密碼保護的頁面
- 7. 受密碼保護的頁面
- 8. 使用.htaccess密碼保護頁面
- 9. WordPress受保護頁面密碼Cookie
- 10. 如何安全地和受保護地擴展事件處理?
- 11. 如何使用System.Net.WebRequest訪問.htaccess保護的頁面?
- 12. 如何在Javascript中請求受密碼保護的頁面
- 13. 如何保護受限訪問頁面中的文檔?
- 14. 如何保護合流中的頁面免受意外更改?
- 15. 保護來自不安全頁面的JavaScript的REST調用
- 16. 頁面保護
- 17. Python「受保護」屬性
- 18. 登錄頁面安全性?
- 19. Web應用程序與OpenAM的安全性如何保護
- 20. 移動編程:短信的安全性如何保護短信
- 21. 受保護的內部屬性vs受保護的屬性和Resharper
- 22. 噴霧安全:如何保護路線?
- 23. DMZ之間的WebService安全 - 受保護的網絡
- 24. 如何保護Tomcat的默認頁面?
- 25. Fortran中受保護的全局變量
- 26. 安全的目錄密碼保護沒有.htaccess
- 27. 如何使用燒瓶安全保護燒瓶管理面板
- 28. 如何在JsonStore Worklight 6.2中實現密碼保護安全性?
- 29. 將受保護的頁面應用於頁面類別中的僅1頁
- 30. PHP頁面保護
僅僅爲了完整起見,.htaccess也不會保護目錄的內容免受窺探到內容中其他目錄中編寫不佳的服務器端腳本(PHP,SSI,.net等)的影響。 – Kitsune 2010-04-30 21:40:02
非常好的評論,Kitsune。我相信有些人可能更願意知道這一點的好處,即。將他們包含的php腳本隱藏在htaccess保護的目錄中,但是確實有兩個方面:) – kontur 2012-03-19 13:47:45