Задать вопрос
choodo
@choodo

Как защитить директории сайта от POST?

Как запретить заливать в директории файлы через POST?
Пример:
173.201.196.119 - - [27/Sep/2015:08:50:49 +0300] "POST /js/graphics/outlines/gallery.php HTTP/1.0" 200 128 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.48 Safari/537.36"
  • Вопрос задан
  • 224 просмотра
Подписаться 1 Оценить 2 комментария
Решения вопроса 1
@metajiji
Если есть сомнения в движке или что вы там используете, а править код нет возможности, то можно принять простые меры:
1. выставить chmod на каталоги 755 и файлы 644, а если имеются каталоги для загрузок, то только там 777.
2. Потратить немного времени и составить список всех php скриптов, которые вызываются напрямую и в конфиге nginx разрешить эти локейшены обрабатывать как php скрипты, а на все остальные php локейшены выдавать 403.
3. для большей "паранои" аплоад каталоги можно отслеживать через fail2ban и банить при первой же попытке вызвать оттуда любой php скрипт (ведь там могут быть только картинки/файлы, но никак не php файлы).

Я проделывал подобное в нескольких местах (стояла joomla 1.2) и у атакующих резко снижался интерес к такому сайту.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
nazarpc
@nazarpc
Open Source enthusiast
Не нужно их защищать от POST запросов.
И заливать файлы можно другими способами.
Вы код исправьте, если файлы реально заливаются (то есть дыру свою залатайте), директория тут ни в чём не виновата.
Если файлы не загружаются - то в чём проблема?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы