Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
 
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Открытие/выполнение файла, без указания расширения
nginx_ip  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
*

Профиль
Группа: Пользователь
Сообщений: 5
Пользователь №: 43332
На форуме: 3 месяца, 8 дней
Карма:




Привет, я в структуре сервера знаю не много - можно сказать только азы.
Хочу спросить: что нужно перенастроить? либо дописать, чтобы если на сервер поступит запрос без указания формата файла - он бы искал файл БЕЗ ФОРМАТА - соответственно такого не будет и пользователь получит ответ 404. Просто у меня сейчас сервер прописан как-то не правильно - дело в том что если допустим написать "site.ru/index" - и в папке будет допустим находиться файл index.txt либо index.php либо index.html - не важно он откроет первый из них (если конечно это .php - то выполнится скрипт, если просто текстовой документ, либо картинка - отдаст контент).
Мне кажется что это ошибка - это как то влияет на безопасность сайта? Конечно директорию он не покажет если ввести допустим "site.ru/images/" - пользователь получит ответ 403 - доступ запрещен.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
SlavaFr  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
******

Профиль
Журнал
Группа: Форумчанин
Завсегдатай форума
Сообщений: 1535
Пользователь №: 22453
На форуме: 6 лет, 6 месяцев, 9 дней
Карма: 104




Да, это влияет на безопасность сайта. представь если запросят ".htaccess" или какие нибудь файлы на которые выйдут благодаря введения релативного "../../filename".
Надо быть с такими вещами очень осторожным..

Ну а в общем ты можешь функцией glob вычитаь масив со всеми файлами, которые по крайней мере начинаются с определённого слова.
например
glob('papka/'. $tvoe_nazvanie_file_bez_okonchanija.'.*');
даст тебе масив со всеми файлами.
А там решай, что тебе показывать из имеющихся сам.


--------------------
↓↓↓↓↓↓↓↓↓↓
ответ может быть здесь
или в mysql_error();
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
nginx_ip  
 ۩  [x] Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
*

Профиль
Группа: Пользователь
Сообщений: 5
Пользователь №: 43332
На форуме: 3 месяца, 8 дней
Карма:




Цитата (SlavaFr @ 28.09.2016 - 17:00)
Да, это влияет на безопасность сайта. представь если запросят ".htaccess" или какие нибудь файлы на которые выйдут благодаря введения релативного "../../filename".
Надо быть с такими вещами очень осторожным..

Ну а в общем ты можешь функцией glob вычитаь масив со всеми файлами, которые по крайней мере начинаются с определённого слова.
например
glob('papka/'. $tvoe_nazvanie_file_bez_okonchanija.'.*');
даст тебе масив со всеми файлами.
А там решай, что тебе показывать из имеющихся сам.

Forbidden You don't have permission to access /.htaccess on this server.

httpd.conf {

<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
NameVirtualHost *:81
<VirtualHost *:81>
ServerAdmin ***@***.ru
DocumentRoot /home/testing/www/
ServerName ***.ru
ServerAlias www.***.ru
</VirtualHost>

}

nginx.conf {

limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_req_zone $binary_remote_addr zone=site:10m rate=300r/m;

server {
limit_conn addr 10;
listen 80;
server_name ***.ru;

charset cp1251;

location ~* \.(jpg|jpeg|gif|png|ico|css|bmp|swf|js)$
{
expires 1d;
add_header Cache-Control public;
proxy_pass http://localhost:81;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}

location /
{
limit_req zone=site burst=15 nodelay;

proxy_pass http://localhost:81;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}


}

+ пользователь если переходит по сайту, соответственно разные скрипты подключаются исходя от get запроса "проверяется существование php скрипта для подключения include - из массива, так есть isset($array[$_GET['page']]) - include скрипт else подключаем основной скрипт index.php"


"А там решай, что тебе показывать из имеющихся сам." - Там все можно показывать, не чего запрещенного нет.

Это сообщение отредактировал nginx_ip - 28.09.2016 - 17:46
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8740
Пользователь №: 26630
На форуме: 5 лет, 9 месяцев, 8 дней
Карма: 591




nginx_ip
выключи директиву MultiViews в конфиге виртхоста апача
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
nginx_ip  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
*

Профиль
Группа: Пользователь
Сообщений: 5
Пользователь №: 43332
На форуме: 3 месяца, 8 дней
Карма:




Цитата (killer8080 @ 29.09.2016 - 07:51)
nginx_ip
выключи директиву MultiViews в конфиге виртхоста апача

Спасибо, а вообще при вот такой конфигурации системы возможен взлом если не отключать MultiViews
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8740
Пользователь №: 26630
На форуме: 5 лет, 9 месяцев, 8 дней
Карма: 591




Цитата (nginx_ip @ 29.09.2016 - 17:50)
Спасибо, а вообще при вот такой конфигурации системы возможен взлом если не отключать MultiViews

нет, по крайней мере мне не известны подобные векторы атаки.
Эта опция использовалась когда то для получения "красивых УРЛ", сейчас все приложения строятся по архитектуре с общей точкой входа и ЧПУ делают через RewriteEngine. В ней просто нет необходимости, поэтому лучше сразу отключать чтоб не было подобных недоразумений.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
nginx_ip  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
*

Профиль
Группа: Пользователь
Сообщений: 5
Пользователь №: 43332
На форуме: 3 месяца, 8 дней
Карма:




Цитата (killer8080 @ 30.09.2016 - 10:11)
Цитата (nginx_ip @ 29.09.2016 - 17:50)
Спасибо, а вообще при вот такой конфигурации системы возможен взлом если не отключать MultiViews

нет, по крайней мере мне не известны подобные векторы атаки.
Эта опция использовалась когда то для получения "красивых УРЛ", сейчас все приложения строятся по архитектуре с общей точкой входа и ЧПУ делают через RewriteEngine. В ней просто нет необходимости, поэтому лучше сразу отключать чтоб не было подобных недоразумений.

Понял, спасибо
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:huh:  :o  ;) 
:P  :D  :lol: 
B)  :rolleyes:  <_< 
:)  :angry:  :( 
:unsure:  :blink:  :ph34r: 
     
Показать всё

Опции сообщения  Включить смайлики?
 Включить подпись?
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса