xin hỏi về bảo mật list file trong web !

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

xin hỏi về bảo mật list file trong web !

[Question] xin hỏi về bảo mật list file trong web !	18/07/2008 10:33:41 (+0700) \| #1 \| 142062

mjning
Member

Joined: 14/07/2008 22:12:29
Messages: 61
Offline

em mới đi vào vấn đề này ! chưa biết nhiều, mong được các anh chị đi trước chỉ dẫn !
có 1 vấn đề em đặt ra như sau " Để giấu các file trong thư mục khi up lên, thì ta sẽ sử dụng 1 file default trong thư mục đó. Khi người ngoài muốn xem các list các file thì tự động sẽ chạy file default.php chẳng hạn !
Liệu việc chống xem bằng cách đó có an toàn !??! hay có thể có cách nào ko cho phép xem list file trong thư mục không ??

Mong được các anh chị chỉ dạy ! chân thành cảm ơn !

http://nghiadoi.com

[Question] Re: thảo luận bảo mật !	18/07/2008 10:37:03 (+0700) \| #2 \| 142063

mjning
Member

Joined: 14/07/2008 22:12:29
Messages: 61
Offline

việc vượt qua cái file default liệu có đơn giản ? bằng cách nào vượt qua, và ta sẽ chống như thế nào ?

http://nghiadoi.com

[Question] Re: thảo luận bảo mật !	18/07/2008 10:49:54 (+0700) \| #3 \| 142067

boom_jt
Member

Joined: 02/08/2007 23:51:10
Messages: 125
Offline

đầu tiên góp ý với bạn về cách đặt tiêu đề cho thread nhé
đặt file index vào thư mục là cách thông thường, nhanh và đơn giản nhất để chống directory listing. Xét 1 cách tương đối nào đó thì nó an toàn. Cách khác để chống directory listing là dựa vào config của web server, tùy thuộc bạn dùng apache (dùng htaccess) hay IIS (vào giao diện quản trị)...

Ở trên mình nói "tương đối" là vì nếu bằng cách nào đó hacker đặt được shell lên server rồi thì những cách trên không còn tác dụng ^^ có điều ngay cả nếu hacker có shell mà chmod ok thì vẫn ko thể có list file trong thư mục đc smilie

[Question] Re: thảo luận bảo mật !	18/07/2008 11:07:01 (+0700) \| #4 \| 142069

mjning
Member

Joined: 14/07/2008 22:12:29
Messages: 61
Offline

boom_jt wrote:

đầu tiên góp ý với bạn về cách đặt tiêu đề cho thread nhé
đặt file index vào thư mục là cách thông thường, nhanh và đơn giản nhất để chống directory listing. Xét 1 cách tương đối nào đó thì nó an toàn. Cách khác để chống directory listing là dựa vào config của web server, tùy thuộc bạn dùng apache (dùng htaccess) hay IIS (vào giao diện quản trị)...

Ở trên mình nói "tương đối" là vì nếu bằng cách nào đó hacker đặt được shell lên server rồi thì những cách trên không còn tác dụng ^^ có điều ngay cả nếu hacker có shell mà chmod ok thì vẫn ko thể có list file trong thư mục đc

dạ cảm ơn anh ( hay chị ) em vẫn chưa biết giới tính !
đầu tiên về thread thì em cũng nghĩ trước khi đặt rồi, e thấy đây là vấn đề về bảo mật, có thể nó quá đơn giản với 1 ai đó, nhưng em mới tìm hiểu, việc đưa ra thảo luận em nghĩ cũng không "vi phạm" quy tắc đặt tên.

xin được gọi bằng acc vậy ! nếu như theo boom_it nói thì đối với việc bảo mật list file thì cách cho file index hay default khá là ổn với mức độ bảo mật trung bình.
nhưng em có thắc mắc là khi có quyền kiểm soát site, hay sever rồi, sao lại không thể có list file nhỉ ??

http://nghiadoi.com

[Question] Re: thảo luận bảo mật !	18/07/2008 11:17:59 (+0700) \| #5 \| 142072

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

Bạn vui lòng đọc cái /hvaonline/posts/list/13874.html và đặt lại tiêu đề.

Let's build on a great foundation!

[Question] Re: thảo luận bảo mật !	19/07/2008 00:09:23 (+0700) \| #6 \| 142131

mjning
Member

Joined: 14/07/2008 22:12:29
Messages: 61
Offline

dạ vâng ! em thành thật xin lỗi, có thể cách đặt câu hỏi của em chưa được hợp lý, em sẽ đặt lại ! rất cảm ơn mod đã góp ý !

http://nghiadoi.com

[Question] Re: xin hỏi về bảo mật list file trong web !	19/07/2008 00:23:13 (+0700) \| #7 \| 142133

gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline

Nếu bác xài Epacha, thử làm cách này:
Tạo một file .htaccess ở webroot với nội dung:

Options -indexes

Cánh chym không mỏi
lol

[Question] Re: thảo luận bảo mật !	19/07/2008 00:25:52 (+0700) \| #8 \| 142134

boom_jt
Member

Joined: 02/08/2007 23:51:10
Messages: 125
Offline

mjning wrote:

nhưng em có thắc mắc là khi có quyền kiểm soát site, hay sever rồi, sao lại không thể có list file nhỉ ??

hì còn phụ thuộc vào "quyền kiểm soát" đó nó tới mức nào đó bạn

[Question] Re: thảo luận bảo mật !	20/07/2008 05:28:27 (+0700) \| #9 \| 142368

mjning
Member

Joined: 14/07/2008 22:12:29
Messages: 61
Offline

boom_jt wrote:

hì còn phụ thuộc vào "quyền kiểm soát" đó nó tới mức nào đó bạn

cho em hỏi tí xíu nữa !! có thể vượt qua = cách thủ công được không nhỉ ??

em đã thử = cách dùng phần mềm load toàn bộ site, thấy cách này khá hiệu quả. Vì khi đó phần mềm chỉ load về được file "index" hoặc "default" mà ko thể load dữ liệu site cũng như các file trong thư mục !

http://nghiadoi.com

[Question] Re: xin hỏi về bảo mật list file trong web !	20/07/2008 09:56:23 (+0700) \| #10 \| 142405

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

Thế thì ta lại nói thế này: tùy thuộc vào phần mềm mà người ta xài, và tùy thuộc vào cách mà người ta xài phần mềm đó.
Thủ công: đoán mò smilie

Một ví dụ:
-Site bạn có domain: http://site.com
-Bạn đặt một file index.htm vào root folder, khi vào site bạn sẽ load ra file index.htm mà không list tất cả các thư mục có trên đó.
-Tôi bắt đầu đoán: http://site.com/admin, http://site.com/abcxyz..., trúng thì vào được, tất nhiên nếu bạn không dùng một vài thủ thuật nào đó để cản tôi vào (.htaccess, leech protect..)
....

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: xin hỏi về bảo mật list file trong web !	20/07/2008 21:04:27 (+0700) \| #11 \| 142454

mjning
Member

Joined: 14/07/2008 22:12:29
Messages: 61
Offline

hi` ! nói như bác thì. khi ở link site.com/admin e lại đặt cho 1 thằng index nữa là ok !

http://nghiadoi.com

[Question] Re: xin hỏi về bảo mật list file trong web !	21/07/2008 00:45:34 (+0700) \| #12 \| 142487

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

Hì, thế mục đích của bạn chống directory listing là gì?
Bạn đặt một file index.htm vào thư mục .../admin, thì khó gì khi tớ tìm trang đăng nhập. Chống là chống người khác tìm ra cái thư mục ../admin đó chứ!

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: xin hỏi về bảo mật list file trong web !	18/08/2008 00:18:07 (+0700) \| #13 \| 147406

lander
Member

Joined: 26/06/2005 06:41:36
Messages: 7
Offline

Có 1 lần em dùng thử AutoWebBrowser14 chưa crack thì em thấy hình như nó soi toàn bộ code trang index (default) mình nhập, rồi nó mò mẩm mấy cái link và mấy cái script hoặc mấy cái form truyền biến thì phải, dò đâu gần 4h đồng hồ. Ra thì ra nhiều thứ, ngay cả directory Browsing cũng ít nhiều hiện ra. Nhưng trên thực tế vẫn không thể thấy list file được. Mình vẫn hiểu mơ hồ về mấy cái webbrowser hay do người đã viết config để đường dẫn file trong đó, chỉ gọi function ra thôi nên khi quét, chương trình quét không thấy Access đó. smilie

[Question] Re: xin hỏi về bảo mật list file trong web !	02/09/2008 00:04:40 (+0700) \| #14 \| 149272

Phó Hồng Tuyết
Member

Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline

@mjning

đọc kỹ bài của bồ gamma95.

"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."

Go to:

Users currently in here
1 Anonymous