| |
|
|
Ý mình hỏi là set tất cả các folder thành 744 mà vẫn up hình lên được vẫn có quyền write bạn ơi  . Cái đó mới là vấn đề. Nghĩa là làm sao khi đăng nhập vào admin của Joomla thì lúc đó quyền của mình cũng là quyền của chủ sỡ hữu thư mục web đã set trong server. 7 4 4 nghĩa là chủ thử mục có quyền write vô tư mà.
Có điều khi đăng nhập vô admin của Joomla thì đối với server thì mình vẫn là guest  nên muốn write thì phải set 777.
Mình có up thử lên host của ng ta tạo thì vấn đề này được giải quyết vô tư  . Set 744 cho thư mục image vẫn upload hình được.
----> Làm thế nào vậy mọi người  . Em hok rành IT hic hic
Mình thắc mắc, nếu bạn làm như vậy thì bảo mật càng lỏng lẻo hơn nhìu. Vd như attacker biết user + pass admin của bạn --> login vào admin --> up file lên và tự nhiên có luôn quyền owner của chủ sở hữu web và dĩ nhiên cũng có toàn quyền chỉnh sữa xoá tất cả các files trên host -->? Vậy ko phải là nguy hại hơn nhiều ah?
Còn nếu bạn muốn làm như vậy để phòng local attack thì cũng có vấn đề, vì khi attacker read đc file của bạn thì đã xong phim rồi chứ cần gì upload gì lên...
Ah, bạn thử nghiên cứu suPHP xem
http://www.suphp.org/Documentation.html
|
 |
|
|
luongkma wrote:
bạn ơi mình đang có cái đê tài như thế này :Hệ thống máy chủ lưu trữ dữ liệu của công ty đang hoạt động bình
thường, tuy nhiên có nghi vấn là hệ thống máy chủ đã bị tấn công, và
kẻ tấn công đã cài backdoor lại, đồng thời có thể đã lấy đi nhiều dữ
liệu. Công ty muốn xây dựng một giải pháp để hạn chế và tránh được
tối đa các hiểm hoạ tương tự trong tương lai. Hãy giải quyết vấn đề
hiện tại và đồng thời phân tích và thiết kế một giải pháp tổng thể để
đáp ứng được các yêu cầu kể trên.
bạn có tl nào gửi cho mình vs
hix. Câu hỏi của bạn nó bao la quá Vậy bạn nên xem tất cả các bài viết trong Box " Thảo Luận Bảo Mật " này đi thì dần dần server của bạn sẽ được bảo mật hơn
|
|
|
|
Mình nghĩ thế này, sau khi bạn đã hoàn thành website và cho chạy chính thức thì nên chmod lại tất cả các folder, files ko có quyền write ( có thể là 744 ...) ngoại trừ các folders mà joomla bắt phải cấp quyền write như các folder upload hình ảnh..v..v. Và để bảo mật các folders có quyền wirte này, bạn có thể hạn chế file type mà client up lên, vd như folders images chỉ chấp nhận các tệp định dạng là ẢNH, hoặc có thể thêm 1 file .htaccess với chức năng ko cho chạy các file .php hay.asp...v..v.
Chúc bạn may mắn
|
|
|
|
tuan448 wrote:
Làm thế nào để xem request mà client gửi lên server.
Vd: mình đăng kí 1 tài khoản ở 1 trang web thì làm sao xem được client gửi những gì lên server?
Nếu là web thì bạn có thể dùng mấy cái plugin của firefox như live http headers hay tamper data mà xem gửi gì lên. Hoặc chi tiết hơn có thể dùng winshark để sniff.
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
