Visualizzazione di configuration.php

Naviga le tue risposte
0

La mia comprensione è che non dovresti mai ospitare il tuo file configuration.php all'interno della directory public_html (mi riferisco specificamente a Joomla, ma immagino si tratti di uno scenario multipiattaforma).

La mia domanda è: è possibile per un utente accedere / visualizzare questo file di configurazione su Internet, o dovrebbe prima sfruttare il server e quindi usare quell'exploit per accedere al file di configurazione. In altre parole, la migliore pratica di mantenere configuration.php al di fuori della radice del web puramente per impedire a un exploit minore di aumentare di livello più elevato, o l'esistenza del file fornisce una vulnerabilità di per sé?

    
posta Moses 01.10.2012 - 22:49
fonte

3 risposte

6

Un file di configurazione non è pubblicamente visibile su Internet a condizione che le autorizzazioni siano impostate correttamente. Generalmente i file di configurazione non generano alcun dato direttamente.

Sono in grado di scaricare una copia del file di configurazione se sfruttano il tuo server e ottengono l'accesso tramite metodi come SSH, FTP o attraverso un pannello di controllo basato sul Web.

Mantenere il file configuration.php all'esterno della directory root web aumenta il livello di sicurezza, tuttavia se un utente malintenzionato dovesse compromettere il server e ottenere l'accesso completo, sarà comunque in grado di accedere a questo file.

    
risposta data 02.10.2012 - 01:30
fonte
2

Con una normale configurazione del server web (almeno nella maggior parte delle società di hosting web), qualsiasi file PHP non può accedere direttamente ai visitatori tramite Internet. Tutto quello che ottengono sono quelli che hanno interpretato in HTML. Ciò significava anche per configuration.php (o config.php) per qualsiasi app web.

    
risposta data 03.10.2012 - 10:38
fonte
2

Per una maggiore sicurezza dei file PHP di configurazione puoi anche bloccare il file per impedirne la modifica o la manipolazione. Ciò aggiungerà maggiore sicurezza.

Su una funzione del server linux sono chattr e su un server VPS dovresti bloccare un file di configurazioni: 

chattr +i /home/user/configuration.ini
    
risposta data 14.10.2012 - 01:32
fonte

Leggi altre domande sui tag

Perché SHA-3 (keccak) è considerato più sicuro del DES quando puoi tentare di crackarlo 3 volte più velocemente? [chiuso] Keylogger - Porte utilizzate dai keylogger