Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Открытый доступ к файлу "system/logs/error.txt" - Серьезная уязвимость в opencart?


markimax

Recommended Posts

Серьезная уязвимость в opencart.

http://ваш_сайт/system/logs/error.txt

И весь журнал ошибок доступен для всех

Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать.

C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. http://habrahabr.ru/post/165999/

Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт например

Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты

SELECT command denied to user 'u138235'@'10.10.0....'..... и т п 

Пропишите в .htaccess

<FilesMatch "error.(txt)$">
Order Allow,Deny
Deny from all
</FilesMatch>

  • +1 14
Надіслати
Поділитися на інших сайтах

Серьезная уязвимость в opencart.

http://ваш_сайт/system/logs/error.txt

И весь журнал ошибок доступен для всех

Так делать нельзя, потому что бывают ошибки SQL, из-за которых можно получить логин и адрес сервера mysql, а также получить логин и хеш пароля пользователя (в случае ошибки mysql при авторизации), который в принципе можно взломать.

C аналогичной уязвимостью в ранних версиях 1C-Битрикс, хакеры уводили базы данных сайтов. http://habrahabr.ru/post/165999/

Поэтому, почаще чистите журнал, или закройте доступ к файлу в .htaccess , иначе в error.txt можно многое узнать про сайт например

Пример с лога одного сайта, и найденной серьёзной ошибки и все это в течении 1 минуты

SELECT command denied to user 'u138235'@'10.10.0....'..... и т п 

Пропишите в .htaccess

<FilesMatch "error.(txt)$">
Order Allow,Deny
Deny from all
</FilesMatch>

Дружище, где именно прописать в .htaccess, под какой строкой?

Надіслати
Поділитися на інших сайтах


такие запреты не только к этому файлу писать надо. и не только на этом движке.

много файлов, которые используются самим движком изнутри, но из вне НЕ вызываются.

а значит - надо запрещать

Надіслати
Поділитися на інших сайтах


Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

Надіслати
Поділитися на інших сайтах


Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

можно и так

только вы не бойтесь стирать комментарии) они все равно только для разработчиков или для вас (это все строчки, начинающиеся с #)

Надіслати
Поділитися на інших сайтах

Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

Файлы с расширением .txt отдаются веб-сервером nginx , а не apache, поэтому директивы в .htaccess для них не действуют, вы можете сменить расширение для данного файла на расширение не статического файла (к примеру .ttt). В этом случае, директивы в файле .htaccess будут обрабатываться корректно.Исходя из ваших требований к настройке серверов целесообразно рассматривать вариант VDS

И как быть ?

Надіслати
Поділитися на інших сайтах


Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

И как быть ?

Забить и почаще проверять файл на ошибки.

Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет.

Надіслати
Поділитися на інших сайтах

Итак столкнулся с тем, что не возможно закрыть доступ к файлу на хостинге timeweb...

Написал в суппорт пришел ответ!

И как быть ?

Тоже задался этим вопросом, сделал так как написал Ваш хостер, помогло, поменял имя и расширение файла на свои, переименовал его в админке, прописал в .htaccess как советовал markimax, только вписал своё название и расширение, всё работает, логи пишутся и для посторонних недоступны.

  • +1 1
Надіслати
Поділитися на інших сайтах


Забить и почаще проверять файл на ошибки.

Если кто всерьез задумает вас сломать, то никакая защита текстового файла не спасет.

Нуда! лучше вообще нафиг расслабится и ждать, пока взломают! Странная логика!

Надіслати
Поділитися на інших сайтах


  • 1 month later...

Так как в файле уже присутствует FilesMatch

я сделал вот так

# Prevent Direct Access to files

<FilesMatch "\.(tpl|ini|log)">

Order deny,allow

Deny from all

</FilesMatch>

# Prevent Direct Access to files2

<FilesMatch "error.(txt)$">

Order Allow,Deny

Deny from all

</FilesMatch>

незнаю на сколько это правильно... кто что скажет?

А зачем столько текста?

Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после

log

вот это

|txt

и все готово

Надіслати
Поділитися на інших сайтах


  • 2 weeks later...

А зачем столько текста?

Просто добавьте в строке <FilesMatch "\.(tpl|ini|log)"> после

log

вот это

|txt

и все готово

Но таким образом закроется досуп к robots.txt

  • +1 2
Надіслати
Поділитися на інших сайтах


Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Надіслати
Поділитися на інших сайтах


Подскажите как закрыть эту проблему? Сделала как в первом посте, но не работает, написал в суппорт они ответили "У нас статические файлы обрабатываются через nginx" . И что теперь?

Посмотри выше в сообщении от shpunt 11 Февраль 2013 - 19:45

Надіслати
Поділитися на інших сайтах


А вот то что, файлы конфигов лежат в корне сайта, это как? нормально вообще?

Так в разных системах файлы конфигов лежат в корне (джомла, вордпресс). Надо добавлять в .htaccess:

<FilesMatch [файл конфига]>
Order Allow,Deny
Deny from all
</FilesMatch>

И надо сам .htaccess защищать:

<FilesMatch .htaccess>
Order Allow,Deny
Deny from all
</FilesMatch>

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.