Jump to content
Sign in to follow this  
markimax

Открытый доступ к файлу "system/logs/error.txt" - Серьезная уязвимость в opencart?

Recommended Posts

напишите это разработчику !!! Пусть добавят!

Share this post


Link to post
Share on other sites

Спасибо, защита важнее всего!

Share this post


Link to post
Share on other sites

Серьезная уязвимость в opencart.

http://ваш_сайт/system/logs/error.txt

И весь журнал ошибок доступен для всех

Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать.

C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. http://habrahabr.ru/post/165999/

Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт например

Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты

SELECT command denied to user 'u138235'@'10.10.0....'..... и т п 

Пропишите в .htaccess

<FilesMatch "error.(txt)$">
Order Allow,Deny
Deny from all
</FilesMatch>

Дружище, где именно прописать в .htaccess, под какой строкой?

Share this post


Link to post
Share on other sites

Дружище, где именно прописать в .htaccess, под какой строкой?

В конце файла можеш прописать.

Share this post


Link to post
Share on other sites

Я на первой строке прописал) все работает =)

Share this post


Link to post
Share on other sites

такие запреты не только к этому файлу писать надо. и не только на этом движке.

много файлов, которые используются самим движком изнутри, но из вне НЕ вызываются.

а значит - надо запрещать

Share this post


Link to post
Share on other sites

Ниче себе - спасибо

Share this post


Link to post
Share on other sites

Какие еще фалы на ваше усмотрение, лучше "закрыть" извне?

Share this post


Link to post
Share on other sites

попробывал не получается, прописал как надо :|

Share this post


Link to post
Share on other sites

А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще?

Share this post


Link to post
Share on other sites

Ребят помогите закрыть доступ к файлу...

Сделал как было написано выше, но не помогает...все равно файл доступен...

Share this post


Link to post
Share on other sites

Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

Share this post


Link to post
Share on other sites

Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

можно и так

только вы не бойтесь стирать комментарии) они все равно только для разработчиков или для вас (это все строчки, начинающиеся с #)

Share this post


Link to post
Share on other sites

Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

Файлы с расширением .txt отдаются веб-сервером nginx , а не apache, поэтому директивы в .htaccess для них не действуют, вы можете сменить расширение для данного файла на расширение не статического файла (к примеру .ttt). В этом случае, директивы в файле .htaccess будут обрабатываться корректно.Исходя из ваших требований к настройке серверов целесообразно рассматривать вариант VDS

И как быть ?

Share this post


Link to post
Share on other sites

Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

И как быть ?

Забить и почаще проверять файл на ошибки.

Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет.

Share this post


Link to post
Share on other sites

Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

И как быть ?

Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны.

  • +1 1

Share this post


Link to post
Share on other sites

Забить и почаще проверять файл на ошибки.

Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет.

Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика!

Share this post


Link to post
Share on other sites

Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

А зачем столько текста?

Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после

log

вот это

|txt

и все готово

Share this post


Link to post
Share on other sites

А зачем столько текста?

Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после

log

вот это

|txt

и все готово

Но таким образом закроется досуп к robots.txt

  • +1 2

Share this post


Link to post
Share on other sites

Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Share this post


Link to post
Share on other sites

Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45

Share this post


Link to post
Share on other sites

А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще?

Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess:

<FilesMatch [файл конфига]>
Order Allow,Deny
Deny from all
</FilesMatch>

И надо сам .htaccess защищать:

<FilesMatch .htaccess>
Order Allow,Deny
Deny from all
</FilesMatch>

Share this post


Link to post
Share on other sites

а почему молчит OC team?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.