2010-04-30 54 views
4

htaccess受保護頁面是否存在已知的缺陷?.htaccess受保護頁面的安全性如何?

我知道他們可以接受蠻力攻擊,因爲沒有任何限制可以嘗試登錄的次數。如果用戶可以上傳並執行服務器上的文件,則所有投注都將關閉...

是否還有其他.htaccess缺陷?

回答

5

.htaccess只是一種在每個目錄基礎上指定Apache配置指令的方法。它們允許許多不同類型的密碼保護。

如果您在談論HTTP基本驗證,那麼用戶名和密碼將以明文形式隨每個請求一起發送,並且會受到嗅探(假設您未使用SSL)。

除此之外,它們受到任何基於密碼的系統所面臨的常見問題的影響。

使用HTTP基本驗證不授予用戶上傳和執行文件的任何附加功能。如果他們已經可以做到這一點,那麼他們仍然可以做到這一點。如果他們不能,他們不能。

+4

僅僅爲了完整起見,.htaccess也不會保護目錄的內容免受窺探到內容中其他目錄中編寫不佳的服務器端腳本(PHP,SSI,.net等)的影響。 – Kitsune 2010-04-30 21:40:02

+0

非常好的評論,Kitsune。我相信有些人可能更願意知道這一點的好處,即。將他們包含的php腳本隱藏在htaccess保護的目錄中,但是確實有兩個方面:) – kontur 2012-03-19 13:47:45

4

.htaccess的使用很常見,且相當安全。但是,這會使您更容易受到其他攻擊的影響,例如遠程文件文件披露漏洞。例如,下面的代碼可以用來破壞.htaccess。

include("./path/to/languages/".$_GET['lang']); 

的利用應該是這樣的:

http://127.0.0.1/LFI_Vuln.php?lang=../../../.htaccess 

這將導致的.htaccess的內容顯示給攻擊者。