Zadejte hledaný výraz...

Ochrana webových aplikací pomocí .htaccess

Narazil jsem na tento článek, popisující univerzální .htaccess údajně chránící webové aplikace před velkou částí pokusů o napadení/hacknutí:
Co na to říkají ti z vás, kdo se ve webové bezpečnosti vyznají lépe než já? Má takový .htaccess smysl? Dokážu vyčíst, před čím ta pravidla chrání, ale už neposoudím, nakolik jsou ty typy útoků časté a závažné.
28. 4. 2008 16:34:01
https://webtrh.cz/diskuse/ochrana-webovych-aplikaci-pomoci-htaccess#reply65861
Veros
verified
rating uzivatele
(1 hodnocení)
28. 4. 2008 17:26:18
Napsal Retal;55530
Narazil jsem na tento článek, popisující univerzální .htaccess údajně chránící webové aplikace před velkou částí pokusů o napadení/hacknutí...
Co na to říkají ti z vás, kdo se ve webové bezpečnosti vyznají lépe než já? Má takový .htaccess smysl? Dokážu vyčíst, před čím ta pravidla chrání, ale už neposoudím, nakolik jsou ty typy útoků časté a závažné.
Dokážu si představit scénáře, kdy nasazením výšeuvedených pravidel rozbiješ do té doby funkční aplikaci, která je napsaná bezpečně. (Namátkou: některé firewally blokují referer, menšítko může v parametru regulérní znak, dokážu si představit, že prohlížeš bude mít v hlavičce UserAgent slovo Python nebo Java, ...).
Dokážu si představit i aplikaci, která je napsaná tak špatně, že ji výšeuvedená pravidla nezachrání. (Např: Vůbec neošetřují data posílaná jako POST).
Aplikaci, která je napsaná špatně a musím ji používat, bych radši zavřel do nějakého ořezaného sandboxu.
Just-my-2-cents.
--VK
28. 4. 2008 17:26:18
https://webtrh.cz/diskuse/ochrana-webovych-aplikaci-pomoci-htaccess#reply65860
Scorpius
verified
rating uzivatele
(19 hodnocení)
28. 4. 2008 17:28:37
Sem spíš začátečník, ale když si to tak prohlížim tak by tim neměl projít XSS, coz je hodně. Dnes je proti tomu velká část serverů nechráněná a přitom to může být velký problém!
Takže můj skromný neprofesionální názor: rozhodně použít, ale nezapomenout i na ochrany proti dalším typům útoků (php injection)...
28. 4. 2008 17:28:37
https://webtrh.cz/diskuse/ochrana-webovych-aplikaci-pomoci-htaccess#reply65859
Arthur
verified
rating uzivatele
(2 hodnocení)
28. 4. 2008 18:14:53
Mno... Jak napsal Věroš, tohle spíš způsobí, že se začnou ozývat lidi a hlásit "nepochopitelnou" nefunkčnost aplikace a "záhadné" poruchy. Pokud to máš nastavené na nějakém hostingu, kde je CRON řešen přes wget (Ignum např.), tak ti "záhadně" přestane fungovat, některé dotazy přestanou "záhadně" vracet informace a začnou blbnout, atakdále... Minimálně ochrana refererů je pochybná, stejně jako ochrana useragents (útočník si prostě vezme UA stejný jako má Explorer...)
V praxi to dělá to, že cokoli "podezřelého" přehodí na index.php. No... a pokud máš aplikaci postavenou na nějakém MVC frameworku, tak ti přes index.php jde stejně každý požadavek... :)
IMHO řádnou programátorskou práci s ošetřením vstupů tímhle nenahradíš :)
28. 4. 2008 18:14:53
https://webtrh.cz/diskuse/ochrana-webovych-aplikaci-pomoci-htaccess#reply65858
Fuck You
verified
rating uzivatele
(1 hodnocení)
28. 4. 2008 18:24:06
Má to dvě části:
- První část má zabránit procházení webu nežádoucím robotům.
- Cílem druhé části je zabránit různým injekcím.
První část je šíleně průstřelná, ale jestli někomu vytěžuje server pár blbečků s wgetem, může to zabrat. Většina lidí u wgetu neumí obejít ani robots.txt, natož přenastavit si user agent. Ale rozhodně bych ta pravidla hodně pročesal. Jak říká Věroš, některá ta slova se v signatuře žádoucího klienta můžou objevit taky.
Druhá část je úplně mimo. Má to díry i v tom, co domněle ošetřuje: Zabrání vložení ";insert into ...", ale nezabrání už vložení ";delete from ..." nebo " or 1;".
Podle mě jakékoli injekce (ať už XSS nebo SQL injection, princip je stejný) je nejlépší ošetřovat až na místě. XSS až při výpisu HTML, SQL při sestavování SQL příkazů, shell při sestavování shellových příkazů, PHP při sestavování názvu souboru pro includování a tak dál.
Můj neprofesionální názor: Rozhodně druhou část nepoužít, je to blbost.
Ani jako nouzovka pokud zdědíte špatně zabezpečenou aplikaci. V takovém případě je jistější zapnout magic_quotes_gpc, vypnout allow_url_fopen, přes auto_prepend_file předpojit soubor, který všechen vstup zpracuje funkcí htmlspecialchars a pomalu se pustit do opravování a uklidňování uživatelů, že o tom \"podivném chování webu\" víte a usilovně na tom děláte...
28. 4. 2008 18:24:06
https://webtrh.cz/diskuse/ochrana-webovych-aplikaci-pomoci-htaccess#reply65857
meba
verified
rating uzivatele
(3 hodnocení)
28. 4. 2008 23:42:52
To uz je lepsi zapnout mod_security v apache. Ten mi mimochodem chytal i velke mnozstvi komentaroveho spamu...Bohuzel vsechny tyhle ochrany jsou proste by design spatne. Ale nekdy se neda delat nic jineho.
Vyse uvedene radky treba neresi ruzne email injection utoky, ktere jsou u spatne napsanych aplikaci velmi bezne. To umi poresit treba mod_security, u PHP uplne nejlepe Suhosin.
28. 4. 2008 23:42:52
https://webtrh.cz/diskuse/ochrana-webovych-aplikaci-pomoci-htaccess#reply65856
Tak se na to dívám a nikdy jsem neviděl flag OR (je v ) co vlastně znamená
15. 8. 2008 14:55:58
https://webtrh.cz/diskuse/ochrana-webovych-aplikaci-pomoci-htaccess#reply65855
Jakub Stacho
verified
rating uzivatele
(20 hodnocení)
15. 8. 2008 18:31:57
Python v UA obsahuje URL Fetcher od Googlu, PycURL zase cosi od Seznamu. Javu posílá pouze JVM. Zbytek blacklistu se zdá být bezpečný.
Když už to ověřuje cookie a referer, tak by to mohlo hlídat i REMOTE_HOST, protože ta se dá taky podvrhnout...
Může být sranda, když někdo omylem něco změní a ono se to zacyklí až při návštěvě bota...
15. 8. 2008 18:31:57
https://webtrh.cz/diskuse/ochrana-webovych-aplikaci-pomoci-htaccess#reply65854
Pro odpověď se přihlašte.
Přihlásit