banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật xin hỏi về bảo mật list file trong web !  XML
  [Question]   xin hỏi về bảo mật list file trong web ! 18/07/2008 10:33:41 (+0700) | #1 | 142062
[Avatar]
mjning
Member

[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]
em mới đi vào vấn đề này ! chưa biết nhiều, mong được các anh chị đi trước chỉ dẫn !
có 1 vấn đề em đặt ra như sau " Để giấu các file trong thư mục khi up lên, thì ta sẽ sử dụng 1 file default trong thư mục đó. Khi người ngoài muốn xem các list các file thì tự động sẽ chạy file default.php chẳng hạn !
Liệu việc chống xem bằng cách đó có an toàn !??! hay có thể có cách nào ko cho phép xem list file trong thư mục không ??

Mong được các anh chị chỉ dạy ! chân thành cảm ơn !
http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: thảo luận bảo mật ! 18/07/2008 10:37:03 (+0700) | #2 | 142063
[Avatar]
mjning
Member

[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]
việc vượt qua cái file default liệu có đơn giản ? bằng cách nào vượt qua, và ta sẽ chống như thế nào ?
http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: thảo luận bảo mật ! 18/07/2008 10:49:54 (+0700) | #3 | 142067
boom_jt
Member

[Minus]    0    [Plus]
Joined: 02/08/2007 23:51:10
Messages: 125
Offline
[Profile] [PM]
đầu tiên góp ý với bạn về cách đặt tiêu đề cho thread nhé
đặt file index vào thư mục là cách thông thường, nhanh và đơn giản nhất để chống directory listing. Xét 1 cách tương đối nào đó thì nó an toàn. Cách khác để chống directory listing là dựa vào config của web server, tùy thuộc bạn dùng apache (dùng htaccess) hay IIS (vào giao diện quản trị)...

Ở trên mình nói "tương đối" là vì nếu bằng cách nào đó hacker đặt được shell lên server rồi thì những cách trên không còn tác dụng ^^ có điều ngay cả nếu hacker có shell mà chmod ok thì vẫn ko thể có list file trong thư mục đc smilie
[Up] [Print Copy]
  [Question]   Re: thảo luận bảo mật ! 18/07/2008 11:07:01 (+0700) | #4 | 142069
[Avatar]
mjning
Member

[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]

boom_jt wrote:
đầu tiên góp ý với bạn về cách đặt tiêu đề cho thread nhé
đặt file index vào thư mục là cách thông thường, nhanh và đơn giản nhất để chống directory listing. Xét 1 cách tương đối nào đó thì nó an toàn. Cách khác để chống directory listing là dựa vào config của web server, tùy thuộc bạn dùng apache (dùng htaccess) hay IIS (vào giao diện quản trị)...

Ở trên mình nói "tương đối" là vì nếu bằng cách nào đó hacker đặt được shell lên server rồi thì những cách trên không còn tác dụng ^^ có điều ngay cả nếu hacker có shell mà chmod ok thì vẫn ko thể có list file trong thư mục đc smilie 


dạ cảm ơn anh ( hay chị ) em vẫn chưa biết giới tính !
đầu tiên về thread thì em cũng nghĩ trước khi đặt rồi, e thấy đây là vấn đề về bảo mật, có thể nó quá đơn giản với 1 ai đó, nhưng em mới tìm hiểu, việc đưa ra thảo luận em nghĩ cũng không "vi phạm" quy tắc đặt tên.

xin được gọi bằng acc vậy ! nếu như theo boom_it nói thì đối với việc bảo mật list file thì cách cho file index hay default khá là ổn với mức độ bảo mật trung bình.
nhưng em có thắc mắc là khi có quyền kiểm soát site, hay sever rồi, sao lại không thể có list file nhỉ ??
http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: thảo luận bảo mật ! 18/07/2008 11:17:59 (+0700) | #5 | 142072
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Bạn vui lòng đọc cái /hvaonline/posts/list/13874.html và đặt lại tiêu đề.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Re: thảo luận bảo mật ! 19/07/2008 00:09:23 (+0700) | #6 | 142131
[Avatar]
mjning
Member

[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]
dạ vâng ! em thành thật xin lỗi, có thể cách đặt câu hỏi của em chưa được hợp lý, em sẽ đặt lại ! rất cảm ơn mod đã góp ý !
http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: xin hỏi về bảo mật list file trong web ! 19/07/2008 00:23:13 (+0700) | #7 | 142133
[Avatar]
gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
[Profile] [PM] [ICQ]
Nếu bác xài Epacha, thử làm cách này:
Tạo một file .htaccess ở webroot với nội dung:
Options -indexes 
Cánh chym không mỏi
lol
[Up] [Print Copy]
  [Question]   Re: thảo luận bảo mật ! 19/07/2008 00:25:52 (+0700) | #8 | 142134
boom_jt
Member

[Minus]    0    [Plus]
Joined: 02/08/2007 23:51:10
Messages: 125
Offline
[Profile] [PM]

mjning wrote:

nhưng em có thắc mắc là khi có quyền kiểm soát site, hay sever rồi, sao lại không thể có list file nhỉ ??
 


hì còn phụ thuộc vào "quyền kiểm soát" đó nó tới mức nào đó bạn
[Up] [Print Copy]
  [Question]   Re: thảo luận bảo mật ! 20/07/2008 05:28:27 (+0700) | #9 | 142368
[Avatar]
mjning
Member

[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]

boom_jt wrote:

hì còn phụ thuộc vào "quyền kiểm soát" đó nó tới mức nào đó bạn 


cho em hỏi tí xíu nữa !! có thể vượt qua = cách thủ công được không nhỉ ??

em đã thử = cách dùng phần mềm load toàn bộ site, thấy cách này khá hiệu quả. Vì khi đó phần mềm chỉ load về được file "index" hoặc "default" mà ko thể load dữ liệu site cũng như các file trong thư mục !


http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: xin hỏi về bảo mật list file trong web ! 20/07/2008 09:56:23 (+0700) | #10 | 142405
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Thế thì ta lại nói thế này: tùy thuộc vào phần mềm mà người ta xài, và tùy thuộc vào cách mà người ta xài phần mềm đó.
Thủ công: đoán mò smilie
Một ví dụ:
-Site bạn có domain: http://site.com
-Bạn đặt một file index.htm vào root folder, khi vào site bạn sẽ load ra file index.htm mà không list tất cả các thư mục có trên đó.
-Tôi bắt đầu đoán: http://site.com/admin, http://site.com/abcxyz..., trúng thì vào được, tất nhiên nếu bạn không dùng một vài thủ thuật nào đó để cản tôi vào (.htaccess, leech protect..)
....
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: xin hỏi về bảo mật list file trong web ! 20/07/2008 21:04:27 (+0700) | #11 | 142454
[Avatar]
mjning
Member

[Minus]    0    [Plus]
Joined: 14/07/2008 22:12:29
Messages: 61
Offline
[Profile] [PM]
hi` ! nói như bác thì. khi ở link site.com/admin e lại đặt cho 1 thằng index nữa là ok !
http://nghiadoi.com
[Up] [Print Copy]
  [Question]   Re: xin hỏi về bảo mật list file trong web ! 21/07/2008 00:45:34 (+0700) | #12 | 142487
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Hì, thế mục đích của bạn chống directory listing là gì?
Bạn đặt một file index.htm vào thư mục .../admin, thì khó gì khi tớ tìm trang đăng nhập. Chống là chống người khác tìm ra cái thư mục ../admin đó chứ!
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: xin hỏi về bảo mật list file trong web ! 18/08/2008 00:18:07 (+0700) | #13 | 147406
lander
Member

[Minus]    0    [Plus]
Joined: 26/06/2005 06:41:36
Messages: 7
Offline
[Profile] [PM]
Có 1 lần em dùng thử AutoWebBrowser14 chưa crack thì em thấy hình như nó soi toàn bộ code trang index (default) mình nhập, rồi nó mò mẩm mấy cái link và mấy cái script hoặc mấy cái form truyền biến thì phải, dò đâu gần 4h đồng hồ. Ra thì ra nhiều thứ, ngay cả directory Browsing cũng ít nhiều hiện ra. Nhưng trên thực tế vẫn không thể thấy list file được. Mình vẫn hiểu mơ hồ về mấy cái webbrowser hay do người đã viết config để đường dẫn file trong đó, chỉ gọi function ra thôi nên khi quét, chương trình quét không thấy Access đó. smilie
[Up] [Print Copy]
  [Question]   Re: xin hỏi về bảo mật list file trong web ! 02/09/2008 00:04:40 (+0700) | #14 | 149272
[Avatar]
Phó Hồng Tuyết
Member

[Minus]    0    [Plus]
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
[Profile] [PM] [WWW] [Yahoo!]

@mjning

đọc kỹ bài của bồ gamma95.
"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|