Что прописать в .htaccess, чтобы сервер не выдавал исполняемый файл на скачивание?

Question

[Алексей Зорин]

Здравствуйте

Занимаюсь тестированием финансового проекта на уязвимости. Главный программист ужаснейший зануда, поэтому получить доступ к конфигам - проблема.

Имеется скрипт заливки изображений. Проверку mime типов успешно обошёл. Проверку, чтобы имя файла регистронезависимо не содержало .php и .shtm - успешно обошёл.

Действия:
- Добавил в .htaccess строчку AddType application/x-httpd-php .php .htm .html .phtml .hack
- Залил файлик test.hack
- Залил .htaccess
При переходе на test.hack файл просто выдаётся на скачивание

Как обойти сию защиту? Доступ к скриптам сервера имею, все исходники имею. Выполнить произвольный php код на сервере могу. Только файлов конфигов нет

Answer 1

[Александр Борисович]

Уверены что htaccess залился и работает?

Comments

[Алексей Зорин]

Да. Прописал в нём редирект, и он сработал

Answer 2

[Андрей Буров]

AddHandler application/x-httpd-php .hack

Comments

[Алексей Зорин]

Теперь файл выводится в браузере, вместо того, чтобы выдаваться на скачивание

Answer 3

[Влад Животнев]

В конфиг апача добавляйте эту строчку.

Comments

[Алексей Зорин]

Моя задача - сделать сайт абсолютно безопасным. .htaccess могу залить, а к конфигам доступа не имею. Смогу взломать без доступа к конфигам, значит минус программисту сайта и плюс мне