Quanto è rischioso avere file sensibili su webroot?

2

Capisco che avere qualcosa di sensibile sotto webroot non sia intelligente; qualcuno potrebbe essere in grado di accedervi tramite url. Tuttavia, non ho scelta con il mio host web (iPage) in quanto limitano il mio spazio server solo alla web root.

Quindi la mia domanda è: quanto è rischioso avere solo file sensibili in una directory in un webroot con un semplice accesso pubblico proibito? Il mio istinto dice no, e qualsiasi intuizione su questo argomento sarebbe molto apprezzata.

Modifica: i "file sensibili" sono un programma di installazione per il nostro software di avvio e i file php che consentono l'accesso al download / controllo di SQL.

    
posta ink 12.09.2014 - 17:37
fonte

2 risposte

2

È difficile rispondere senza sapere quanto siano sensibili i tuoi file. Pensaci in questo modo: quanto vale questo valore per te? Se i tuoi dati valgono più di quello che costerebbe passare a un servizio di hosting adeguato, dovresti farlo. Dato quello che stai dicendo, probabilmente lo è, e probabilmente dovresti.

Non so che tipo di dati sia, quindi è difficile speculare su come proteggerli. Se si tratta di un elenco di clienti sensibili, forse dovrebbe vivere su un database ben protetto. Se si tratta di informazioni personali sensibili, forse dovrebbe essere crittografato. Solo non so senza saperne di più.

Ci sono vari modi per tenere le persone fuori da punti designati in qualsiasi posto sul server. Il mio primo istinto è scrivere regole per il tuo server da seguire. Immagino che quello che stai cercando di fare sia proteggere i file tramite .htpasswd su Apache. In questo caso, assicurati di avere regole di blocco appropriate, in modo che la gente non possa attaccare il sito in un tempo ragionevole. Ci sono anche altri metodi, ma dovrei ancora sapere cosa stavi cercando di proteggere per primo.

Naturalmente, se si sta eseguendo l'hosting in cui non si dispone dell'accesso root al server, probabilmente non è possibile modificare i file di configurazione del server. Di nuovo, la risposta tende a: acquistare più hosting professionale.

    
risposta data 12.09.2014 - 18:16
fonte
3

Un utente malintenzionato utilizzerà navigazione forzata per cercare e trovare file sensibili. DirBuster è molto utile nell'esecuzione di attacchi di esplorazione forzata e in genere trova file sensibili nei miei incarichi di test di penetrazione. DirBuster viene fornito con un elenco molto ampio di nomi di file e directory comuni. Se non è un nome di file comune, probabilmente DirBuster non lo troverà.

Se i file sensibili sono accessibili ovunque sul tuo server web è pericoloso , è necessario che sia attivata una qualche forma di controllo degli accessi.

    
risposta data 12.09.2014 - 18:15
fonte