Làm sao để chống truy cập trực tiếp vào các file template trong jforum

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Làm sao để chống truy cập trực tiếp vào các file template trong jforum

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	28/02/2012 18:07:08 (+0700) \| #1 \| 256087

hftv699
Member

Joined: 02/01/2012 11:24:25
Messages: 7
Offline

Hi HVAer!

Em đang lấy source jforum về để vọc, các quá trình cài đặt, chỉnh sửa thì không vấn đề gì.
Có 1 vấn đề mà em đau đầu, chưa có hướng xử lý và mong các bro chỉ bảo giúp ạ!

Vấn đề: Khi chạy forum thì trên URL nếu gõ trực tiếp như sau:
localhost:8080/jforum/templates/default/forum_list.htm
(url chuẩn: localhost:8080/jforum/forums/list.page)
Thì Browser nó print nội dung source trong file forum_list.htm ra smilie

Em đang hiểu là các file *.htm thì đang tương đương với các file resource (như js, css) nên browser nó print ra mà nó ko chui vào Controler được smilie

Em chưa có cách nào để điều hướng mỗi khi nhập trực tiếp file *.htm để nó di chuyển đến trang lỗi 404 hoặc là 1 trang nào đó (giống như hva hoặc coderanch.com đang làm).

Vậy nhờ các bác chỉ bảo giúp ạ!

@Nếu em post bài sai vị trí thì mod move giúp em!

Thanks!

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	28/02/2012 19:44:03 (+0700) \| #2 \| 256105

kakarottbatdong
Member

Joined: 02/05/2009 19:27:06
Messages: 55
Offline

Vấn đề này chắc bồ phải code thêm cho jforum thôi, hoặc nghiên cứu thêm apache để có thể giải quyết được vấn đề

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	29/02/2012 07:26:30 (+0700) \| #3 \| 256188

hftv699
Member

Joined: 02/01/2012 11:24:25
Messages: 7
Offline

kakarottbatdong wrote:

Vấn đề này chắc bồ phải code thêm cho jforum thôi, hoặc nghiên cứu thêm apache để có thể giải quyết được vấn đề

Thanks bac!

Vẫn biết là phải code thêm hoặc sửa đổi gì rồi a, nếu em biết thì còn hỏi chi nữa smilie

Mong các bác giúp đỡ smilie

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	29/02/2012 11:21:21 (+0700) \| #4 \| 256213

kakarottbatdong
Member

Joined: 02/05/2009 19:27:06
Messages: 55
Offline

Bồ cũng có thể thay đổi tên hoặc đặt templates ở vị trí khác, ở trường hợp này, nếu bồ đã học java servlet và freemarker thì bồ sẽ thực hiện dể dàng thôi mà smilie

theo tôi, những file htm đó không quan trọng gì cho lắm, nếu lỡ ai đó lấy được file đó về xem thì cũng chỉ là vẻ bề ngoài, còn trong ruột nó là gì thì ai mà biết smilie

)

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	29/02/2012 11:54:25 (+0700) \| #5 \| 256214

hftv699
Member

Joined: 02/01/2012 11:24:25
Messages: 7
Offline

Thay đổi tên hoặc đặt templates ở vị trí khác

cũng là 1 ý kiến hay, để em thử xem thế nào! Thanks bác kakarottbatdong

những file htm đó không quan trọng gì cho lắm

Cái này em không chắc là nó quan trọng hay không, 1 ai đó lấy được source code trong file htm thì ảnh hưởng tới app về mặt bảo mật không ạ?

Vì em không rành về vấn đề bảo mật cho web nên sourcde của file htm mà trình ình lên thấy nó không an tâm.

Mong chỉ giáo smilie

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	29/02/2012 12:21:12 (+0700) \| #6 \| 256217

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Mở cái web.xml trong WEB-INF ra và thêm các xml blocks sau:

Code:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>HTTP-Protected-Resource-1</web-resource-name>
        <description>Description here</description>
        <url-pattern>/jforum/templates/default/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name>VOPHANSUMIENVAO</role-name>
    </auth-constraint>
</security-constraint>

Code:

<login-config>
    <auth-method>DEFAULT</auth-method>
    <realm-name>NOACCESSF</realm-name>
</login-config>
<security-role>
    <role-name>VOPHANSUMIENVAO</role-name>
</security-role>

Restart lại cái JVM và thử coi sao?

Còn muốn code thì vô trong JFoum class mà thêm một cái private method để nó kiểm tra URI pattern là cái gì để rồi thằng Service method dựa vào đó mà kiểm tra. Nếu nó là /jforum/templates/default/ thì bắt nó wwwect tới 1 trang nào đó hoặc muốn kỹ hơn thì phải set hẳn 1 cái template riêng để nó build 1 trang chuyên hồi báo lỗi (vì đã access trực tiếp vào templates).

Muốn mó vô mấy cái này, bồ phải nghiên cứu kỹ cái source structure của Jforum chớ không thì tớ nói cũng như "vịt nghe sấm" không chừng á.

What bringing us together is stronger than what pulling us apart.

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	29/02/2012 16:45:03 (+0700) \| #7 \| 256254

hftv699
Member

Joined: 02/01/2012 11:24:25
Messages: 7
Offline

Cám ơn anh conmale đã giúp đỡ!

Còn muốn code thì vô trong JFoum class mà thêm một cái private method để nó kiểm tra URI pattern là cái gì để rồi thằng Service method dựa vào đó mà kiểm tra

Khi mình nhập url trỏ vào file templates thì bản thân file tem đó tương đương với file resource thì làm sao nó nhảy vào controller (JForum.java) được hả anh? Chính vì ko vào nên em mới hỏi ạ smilie

Còn về cách config trong web.xml thì em sẽ thử và trả lời kết quả ạ!

Thanks anh!

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	29/02/2012 16:55:40 (+0700) \| #8 \| 256258

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

hftv699 wrote:

Cám ơn anh conmale đã giúp đỡ!

Còn muốn code thì vô trong JFoum class mà thêm một cái private method để nó kiểm tra URI pattern là cái gì để rồi thằng Service method dựa vào đó mà kiểm tra

Khi mình nhập url trỏ vào file templates thì bản thân file tem đó tương đương với file resource thì làm sao nó nhảy vào controller (JForum.java) được hả anh? Chính vì ko vào nên em mới hỏi ạ

Còn về cách config trong web.xml thì em sẽ thử và trả lời kết quả ạ!

Thanks anh!

Application context trong trường hợp này là "/jforum" và mọi request đụng tới context này đều phải đi xuyên qua "Jforum" controller thì mới có thể tiếp tục. Chính vì chưa có cái gì declare cho "JForum" class cho nên mới "ko vào".

What bringing us together is stronger than what pulling us apart.

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	29/02/2012 17:23:21 (+0700) \| #9 \| 256263

hftv699
Member

Joined: 02/01/2012 11:24:25
Messages: 7
Offline

conmale wrote:

Application context trong trường hợp này là "/jforum" và mọi request đụng tới context này đều phải đi xuyên qua "Jforum" controller thì mới có thể tiếp tục. Chính vì chưa có cái gì declare cho "JForum" class cho nên mới "ko vào".

Trong file web.xml đã khai báo rồi mà anh, code đây ạ:

//JForum Controller
<servlet>
<servlet-name>jforum</servlet-name>
<servlet-class>net.jforum.JForum</servlet-class>

<init-param>
<param-name>development</param-name>
<param-value>true</param-value>
</init-param>
</servlet>

//Mapping
<servlet-mapping>
<servlet-name>jforum</servlet-name>
<url-pattern>*.page</url-pattern>
</servlet-mapping>

Không lẽ còn chỗ nào declare nữa hả anh?
Vì gà, nên mong anh chỉ giúp!

Thanks anh!

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	29/02/2012 23:43:45 (+0700) \| #10 \| 256342

hftv699
Member

Joined: 02/01/2012 11:24:25
Messages: 7
Offline

Em thêm <security-constraint> vào web.xml không chạy được bác conmale ạ, cho cái đó vào, start được server nhưng vào site thì die, 404 smilie

Có lẽ cách di chuyển template là cách dễ thực hiện nhất smilie

Thanks!

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	01/03/2012 02:51:46 (+0700) \| #11 \| 256352

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

hftv699 wrote:

conmale wrote:

Application context trong trường hợp này là "/jforum" và mọi request đụng tới context này đều phải đi xuyên qua "Jforum" controller thì mới có thể tiếp tục. Chính vì chưa có cái gì declare cho "JForum" class cho nên mới "ko vào".

Trong file web.xml đã khai báo rồi mà anh, code đây ạ:

//JForum Controller
<servlet>
<servlet-name>jforum</servlet-name>
<servlet-class>net.jforum.JForum</servlet-class>

<init-param>
<param-name>development</param-name>
<param-value>true</param-value>
</init-param>
</servlet>

//Mapping
<servlet-mapping>
<servlet-name>jforum</servlet-name>
<url-pattern>*.page</url-pattern>
</servlet-mapping>

Không lẽ còn chỗ nào declare nữa hả anh?
Vì gà, nên mong anh chỉ giúp!

Thanks anh!

Bồ cần đọc kỹ lại post #6. "Khai báo" là khai báo bên trong source code (JForum class) chớ có phải khai báo trên web.xml đâu?

What bringing us together is stronger than what pulling us apart.

[Question] Làm sao để chống truy cập trực tiếp vào các file template trong jforum	01/03/2012 11:52:34 (+0700) \| #12 \| 256415

hftv699
Member

Joined: 02/01/2012 11:24:25
Messages: 7
Offline

conmale wrote:

Bồ cần đọc kỹ lại post #6. "Khai báo" là khai báo bên trong source code (JForum class) chớ có phải khai báo trên web.xml đâu?

Ơ anh, như em đã nói ở post #7, khi nhập url trỏ tới file *.htm thì request nó không nhảy nổi vào JForum >> như vậy thì có Khai báo gì trong JForum cũng để làm gì đâu smilie

>> Thật sự em chưa hiểu ý anh xử lý thế nào trong vấn đề "Khai báo" trong JForum ạ smilie

Em tìm hiểu thì để khi nhập url trỏ vào file *.htm mà request nó chui vào Jforum action thì mình cần thêm 1 servlet-mapping với htm là được. Khi đó mình mới check được trong class JForum ạ!

Thanks anh!

Go to:

Users currently in here
1 Anonymous