שלום.

אני לא בטוח אם ההודעה מתאימה יותר ל"אבטחת מידע" או ל"בניית אתרים" אז אם זה לא המקום - תרגישו חופשי להעביר.

הרקע:
באתר שלי מותקנת מערכת PHP-Nuke (או בגירסא העברית שלה HebNuker) שהיא בערך הדבר הכי לא בטוח שקיים - ורק בימים האחרונים הבנתי עד כמה (תודה לכמה אנשים מכאן שעזרו לי להבין את זה).

הציעו לי לחסום בסיסמא את הקובץ Admin.php (שנותן גישה לפאנל הניהול).

---
כדי לעשות את זה יצרתי קובץ סיסמאות של Apache, ויצרתי ביחד איתו קובץ htaccess.

הבעיה:
כשאני נכנס לדף - הוא לא מבקש סיסמא בכלל. אם אני מעלים את קובץ הסיסמאות - הוא מבקש סיסמא אבל לא מקבל אף סיסמא כנכונה (הגיוני).

ז"א - השרת קורא את ה-htaccess ומתייחס אליו, אבל לא בודק סיסמאות בקובץ הסיסמאות.

---
יש למישהו רעיון?

PHP-Nuke היא חור אבטחה. לא משנה מה תעשה (חוץ מאולי לכתוב אותה מחדש), כנראה שלא יהיה לך לעולם אתר מוגן...

נמאס לכם לזכור סיסמאות? לחצו כאן!

האמת שהעיקר באתר זה הפורום שיש בו, האתר עצמו פחות חשוב, והידע שלי בבניית אתרים לא מאפשר לי לבנות משהו רציני, ככה שאני חייב להסתפק בזה.

לפחות ננסה להגן על הקבצים כמה שאפשר.

יש לך מושג מה עושים עם הבעיה?

חשוב שתבין, זה שאתה חוסם דווקא את הקובץ של ממשק האדמין, לא אומר כלום... בברירת מחדל, גם אם הקובץ הזה חשוף, אף אחד לא אמור להצליח לעשות דרכו משהו מיוחד, ואם מישהו מצליח, אז זה באג בקובץ הזה. אבל באג יכול להיות בכל קובץ וקובץ, וכל באג, אם הוא מספיק טפשי, מאפשר השתלטות מלאה על המערכת. הייתי מגבה באופן יום יומי את כל המידע...

נמאס לכם לזכור סיסמאות? לחצו כאן!

חשבתי על זה שהבעיה אולי בנתיב לקובץ הסיסמאות.. אבל כשהקובץ נמצא במקום שלו זה לא מבקש סיסמא, וכשהוא לא אז זה כן מבקש סיסמא... ז"א הוא כן מוצא את הקובץ סיסמאות הוא רק לא עושה איתו כלום.

וכן המערכת מלאה באגים ואני יודע שאפשר להשתלט דרך כל מיני מקומות.. אבל הפריצה הכי בסיסית זה להיכנס לממשק של האדמין אז לפחות את זה אני אחסום.

אולי התחביר של ה htaccess שלך לא נכון, תראה את התוכן של הקבצים בבקשה...

לגבי Admin, אני חושש שלא הבנת מה שאמרתי. הסיכוי לפרוץ למערכת כלשהיא שווה בכל החלקים שלה שפתוחים למי שיכול לפרוץ אליהם. נכון שפוטנציאלית אתה תקטין את מספר הקבצים הנגישים על ידי העלמת Admin, אבל אם אני זוכר נכון, דווקא רוב הבאגים של החבר'ה האלה יושבים בד"כ בקבצים הרגילים, אלה שחייבים להיות נגישים לקהל הרחב...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני מאמין שפורץ מנוסה יוכל לעשות נזקים.. אבל אני יודע שיש לא מעט (אם לא עשרות) פרצות שרדכן אפשר לקרוא סיסמאות של מנהלים.. אז אני מוכן לקבל את זה שאנשים יכולים לקרוא את הסיסמאות - אבל כדי להשתמש בהן הם יצתרכו לעבור עוד שלב.. זה עוזר קצת.

תוכן הקובץ:

AuthType Basic
AuthName "admin"
AuthGroupFile /dev/null
AuthUserFile /home.........file.pass

<Files "/home/....../public_html/admin.php">
require user A
</Files>

---
עוד וריאציות שניסיתי:
deny from all
require user A
satisfy any
(לא ביקש סיסמא בכלל)

deny from all
require user A
satisfy all
(forbidden)

require valid-user
(גם פה - לא ביקש סיסמא בכלל)

תשים את כל השורות שמתחילות ב Auth ו require בין התגים הבאים:

קוד:

<Limit GET POST PUT DELETE>
...
...
...
</Limit>

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה..

ניסיתי את זה - וזה עובד כמו קודם.. נכנס בלי סיסמא..

למה זה?