Esiste un modo per aggirare la restrizione PATH .htaccess (negli URL)?

0

Utilizziamo .htaccess per negare l'accesso diretto al file specifico example.com/myfile.txt , utilizzando questa configurazione:

RewriteEngine on
RewriteCond %{THE_REQUEST} myfile.txt
RewriteRule ^    - [F,L]

L'intento è che se l'url contiene myfile.txt , blocchiamo la richiesta. Tuttavia, quali sono i passaggi di protezione aggiuntivi? Penso che qualcuno possa accedere a quel file usando i backslash (o qualsiasi carattere di escape) come: example.com/my\fi\le\.txt

    
posta T.Todua 04.03.2018 - 10:46
fonte

1 risposta

4

Sebbene ciò che hai elencato funzionerà, mod_rewrite non è veramente uno strumento di controllo degli accessi. Apache fornisce strumenti specifici per negare l'accesso, che operano dopo che i nomi dei file sono stati canonizzati (convertiti nel modulo che verrà utilizzato per aprire i file sul disco). L'utilizzo di qualcosa di simile è il modo previsto per bloccare l'accesso a myfile.txt:

<Files myfile.txt>
Order Allow,Deny
Deny from all
</Files>

Il tuo esempio di backslash non dovrebbe fare alcuna differenza: l'utente riceverà solo un errore 404, perché un file chiamato my\fi\le\.txt non esisterà. (Le barre rovesciate sono un carattere perfettamente legale nel nome file UNIX e puoi inviarle, anche se la maggior parte dei browser le convertirà in barre in avanti per gli utenti Windows.)

    
risposta data 05.03.2018 - 03:38
fonte

Leggi altre domande sui tag