Перейти к содержанию
markimax

Открытый доступ к файлу "system/logs/error.txt" - Серьезная уязвимость в opencart?

Рекомендуемые сообщения

напишите это разработчику !!! Пусть добавят!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, защита важнее всего!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Серьезная уязвимость в opencart.

http://ваш_сайт/system/logs/error.txt

И весь журнал ошибок доступен для всех

Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать.

C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. http://habrahabr.ru/post/165999/

Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт например

Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты

SELECT command denied to user 'u138235'@'10.10.0....'..... и т п 

Пропишите в .htaccess

<FilesMatch "error.(txt)$">
Order Allow,Deny
Deny from all
</FilesMatch>

Дружище, где именно прописать в .htaccess, под какой строкой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дружище, где именно прописать в .htaccess, под какой строкой?

В конце файла можеш прописать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я на первой строке прописал) все работает =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

такие запреты не только к этому файлу писать надо. и не только на этом движке.

много файлов, которые используются самим движком изнутри, но из вне НЕ вызываются.

а значит - надо запрещать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ниче себе - спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Какие еще фалы на ваше усмотрение, лучше "закрыть" извне?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

попробывал не получается, прописал как надо :|

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ребят помогите закрыть доступ к файлу...

Сделал как было написано выше, но не помогает...все равно файл доступен...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

можно и так

только вы не бойтесь стирать комментарии) они все равно только для разработчиков или для вас (это все строчки, начинающиеся с #)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

Файлы с расширением .txt отдаются веб-сервером nginx , а не apache, поэтому директивы в .htaccess для них не действуют, вы можете сменить расширение для данного файла на расширение не статического файла (к примеру .ttt). В этом случае, директивы в файле .htaccess будут обрабатываться корректно.Исходя из ваших требований к настройке серверов целесообразно рассматривать вариант VDS

И как быть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

И как быть ?

Забить и почаще проверять файл на ошибки.

Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

И как быть ?

Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны.

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Забить и почаще проверять файл на ошибки.

Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет.

Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

А зачем столько текста?

Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после

log

вот это

|txt

и все готово

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А зачем столько текста?

Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после

log

вот это

|txt

и все готово

Но таким образом закроется досуп к robots.txt

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще?

Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess:

<FilesMatch [файл конфига]>
Order Allow,Deny
Deny from all
</FilesMatch>

И надо сам .htaccess защищать:

<FilesMatch .htaccess>
Order Allow,Deny
Deny from all
</FilesMatch>

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а почему молчит OC team?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.