Foros del Web » Programando para Internet » PHP »

seguridad directorio

Estas en el tema de seguridad directorio en el foro de PHP en Foros del Web. Hola [email protected]: Es una cuestion de seguridad, tengo una web en la que si pones una ruta www.xxxxx.com/donde/ me sale un listado de todos los ...
  #1 (permalink)  
Antiguo 09/02/2006, 14:38
Avatar de kco
kco
 
Fecha de Ingreso: septiembre-2001
Mensajes: 249
Antigüedad: 16 años, 2 meses
Puntos: 0
Exclamación seguridad directorio

Hola [email protected]:

Es una cuestion de seguridad, tengo una web en la que si pones una ruta

www.xxxxx.com/donde/

me sale un listado de todos los archivos que hay aqui dentro, sé que con un index o con los privilegios se solucionaria pero
¿TIENE ALGUNA PEGA DE SEGURIDAD DEJARLO ASI?

Muchas gracias y un abrazo de un PHPero+
__________________
"No tengas miedo de ir despacio, teme quedarte quieto."
  #2 (permalink)  
Antiguo 09/02/2006, 14:57
Avatar de mauled  
Fecha de Ingreso: marzo-2005
Ubicación: Cd. de México.
Mensajes: 3.001
Antigüedad: 12 años, 9 meses
Puntos: 33
Exclamación

Pues seria conveniente que pusieras seguridad a dicha página ... porque donde el usuario por casulidad(y pasa de verdad)teclee esa direccion ya valio...dijo no hay problema pero es conveniente mejor no mostrar los archivos que tienes en servidor puedes dar pie a que te detecten errores y te "inyecten" código
  #3 (permalink)  
Antiguo 09/02/2006, 14:59
Avatar de kco
kco
 
Fecha de Ingreso: septiembre-2001
Mensajes: 249
Antigüedad: 16 años, 2 meses
Puntos: 0
ya pero aparte ver el listado de archivos del directorio

¿q pueden hacer?

te detecten errores y te "inyecten" código

YO pienso que como mucho podria descargarse el archivo php interprtado osea el html pero no ver mi codigo php ¿NO?

muxas gracias
__________________
"No tengas miedo de ir despacio, teme quedarte quieto."
  #4 (permalink)  
Antiguo 09/02/2006, 15:06
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
En principio todo dependerá de que archivos tengas ahí y que hagan tus aplicaciones.

Imagina un script tuyo que haga descargas de archvios .. algo tipo:

script.php?archivo=nose.tal

Donde le pasas un nombre de archivo (y hasta con ruta) .. y descarga el archivo .. Eso, (por supuesto depende de tus validaciones y otra lógica en tu script.php) sumado a que "puedo" ver los nombres de archivos . .me daría pié a "intentar" bajarme algún "config.php" donde almacenese datos críticos como contraseñas para conexión a tus BBDD o scripts (código fuente de PHP).

La primera regla de "seguridad" en todo sistema es "no dar información" .. no mostrar listado de archivos que contiene ... no mostrar mensajes de error del lenguaje (PHP) que desvelen rutas o nombres de escripts .. etc.

Un saludo,
  #5 (permalink)  
Antiguo 09/02/2006, 15:19
Avatar de kco
kco
 
Fecha de Ingreso: septiembre-2001
Mensajes: 249
Antigüedad: 16 años, 2 meses
Puntos: 0
gracias por responder

si sé que no lo es ideal, pero no logro comprender como pueden ver el codigo php (scripts), "inyecten" código siempre seria el interpretado que es html

no??

y si estoy equivocado

hay alguna manera??

pq show_source solo funcionaria si estuviera dentro de mi servidor

muxas gracias
__________________
"No tengas miedo de ir despacio, teme quedarte quieto."
  #6 (permalink)  
Antiguo 10/02/2006, 05:12
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
si sé que no lo es ideal, pero no logro comprender como pueden ver el codigo php (scripts), "inyecten" código siempre seria el interpretado que es html
Si yo veo un nombre de un script.php tuyo cualquier y lo llamo atraves de un navegador cualquiera por una llamada HTTP:

http://www.tusitio.tal/nose/archivo.php

Ahí en mi "navegador" (cliente) veré lo que la ejecución de ese script dé como resultado y entregue como salida .. sea "nada" o lo que haga. En ningún caso el código "PHP"


Cita:
pq show_source solo funcionaria si estuviera dentro de mi servidor
Si, sólo de los archivos locales de ese servidor si no se aplican otras restricciones dentro del mismo servidor. Y no sólo con esa función .. también con cualquier otra tipo: fopen(), file() .. include() .. Aquí lo que "manda" es la llamada que haces al archivo; si es por ruta "absoluta" (c:\nose\tal o /var/www/sitio.com/public_html/ ...) o por HTTP (http://....)

Por eso mismo mi comentario (que no sé si te lió más o no entendistes) hace referencia a "servidores virtuales" y servidores compartidos (por más usuarios y sitios que maneje el mismo servidor).

Imagina que tu tienes el sitio nose.com .. yo tengo el otro.com .. ambos albergamos nuestros sitios con el mismo proveedor y nos dá este el mismo servidor: tú físicamente en ese servidor estás en: /var/www/nose.com/public_html y yo al lado en /var/www/otro.com/public_html .. Según lo que describí en el anterior mensaje .. podría probar a tomar archivos de tu "nose.com" indicando rutas "absolutas" .. pero las de tu sitio . .no el mio usando desde scripts.php ubicados en otro.com (hablo de que somos usuarios del mismo servidor) con funciones tipo file() .. fopen() .. show_source() .. include() ..

(por cierto .. con "fopen()" simplemente o con cualquier función que "abra" o lea un archivo puedo ver el código .. lo que no lo veré es "coloreado" en la página HTML si es que así lo muestro como hace la función show_source() o equivalente).

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:59.