English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Multiple Choices -- Sơ hở bảo mật ?  XML
  [Question]   Multiple Choices -- Sơ hở bảo mật ? 16/07/2006 21:15:38 (+0700) | #1 | 7193
[Avatar]
 badbigboy1
Elite Member
[Minus]    0    [Plus]
Joined: 12/03/2003 16:59:34
Messages: 48
Offline
[Profile] [PM]
Chào các bạn,
Đã bao anh em gặp trường hợp vào nhầm địa chỉ URL và trang đó đưa ra một số lựa chọn khác cho mình. Bằng cách này hacker có thể thấy được các file nằm trên host.
Tớ lấy ví dụ
Bà con vô trang này :
http://www.oit.umd.edu/msea/.MicrosoftV.html
Địa chỉ trên là không tồn tại, bạn sẽ thấy
Code:
Multiple Choices
The document name you requested (/msea/.MicrosoftV.html) could not be found on this server. However, we found documents with names similar to the one you requested.

Available documents:

    * /msea/. (common basename)
    * /msea/.. (common basename)
    * /msea/.htaccess (common basename)
    * /msea/.davaccess (common basename)


Như thế có phải là sơ hở chăng ? Có ai có cách fix với .htaccess thì chia sẻ cùng mọi người với.

Thanks
[Up] [Print Copy]
  [Question]   Multiple Choices -- Sơ hở bảo mật ? 18/07/2006 02:20:05 (+0700) | #2 | 7495
[Avatar]
 SuperChicken
Elite Member
[Minus]    0    [Plus]
Joined: 11/07/2006 18:31:27
Messages: 635
Location: bottom of hell
Offline
[Profile] [PM]
Wow, lần đầu tiên thấy cái này, cái này mà sơ hở gì, tui thấy hay đó chứ, nó chỉ gợi ý cho user thôi mà, đâu có show file ra gì đâu, thậm chí nó còn lấy được cái link refer đến nó nữa, wá hay smilie . Không biết đây là server gì nhỉ, Apache hay IIS hén?
[Up] [Print Copy]
  [Question]   Multiple Choices -- Sơ hở bảo mật ? 19/07/2006 08:22:22 (+0700) | #3 | 7872
[Avatar]
 badbigboy1
Elite Member
[Minus]    0    [Plus]
Joined: 12/03/2003 16:59:34
Messages: 48
Offline
[Profile] [PM]
hi cái chính là tớ giật mình ,thấy rằng vì khi tớ sửa source thường ko ghi đè mà tạo ra bản sao bên cạnh với ghi chú, đôi khi vẫn để đuôi PHP, còn nếu không thì cái tên cũng giống, người khác nhập vô như trên đọc nó dưới dạng text thì chắc sẽ tìm ra lỗi.

Vấn đề là không thích ai nhòm ngó cái đống file cả, server của tớ là Apache. Anh em có kinh nghiệm nào không ? Cám ơn.
[Up] [Print Copy]
  [Question]   Multiple Choices -- Sơ hở bảo mật ? 19/07/2006 19:20:01 (+0700) | #4 | 7941
[Avatar]
 Phuongdong
Advisor
Joined: 10/03/2003 17:46:03
Messages: 323
Offline
[Profile] [PM]
Đây là một trong các mã lỗi của HTTP v1.1 http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
Bạn chỉ cần viết thêm vào trong .htaccess theo dạng
ErrorDocument errornumber /file.html
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|