Закрыть возможность достучатся до файлов

Kopusha	#1 2019-01-02 09:46
Members Thanked: 80 zaman	Друзья, с НОВЫМ 2019 годом! Пусть в этом году котонти не стоит на месте! А теперь внимание, ~~черный ящик~~ вопрос! В служебных директориях в корне лежит пустой index.html со следующим содержанием <h1>Forbidden</h1> <!-- No directory listing available --> Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы. Какие еще шаги сообщество предложит для более грамотного вопроса бесопасности? Спасибо! Added 21 minutes later: Сам же начну отвечать на свой вопрос Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку. Это плагин Marketorders, люди покупают файлы и качают их. Что бы не качали получив ссылку на свой оплаченный и другие файлы (люди не переименовывают их к примеру и вполне можно введя прямую ссылку на datas/marketfiles/diplom.txt его скачать, а заставить систему переименовывывать в неудобночитаемо тоже не выход) сделано так - при добавлении переименовываем в sys.now+cot_randomstring+оригинальное_имя На выходе имеем что то вроде 20190129105276c00404c259Diploma.txt Дико удобно искать файл руками по ftp в случае чего - все и отсортировано да и зная дату можно дернуть по поиску и исключает перебор.
Bu konu Kopusha tarafından düzenlendi(2019-01-02 10:07, 5 yıllar önce)

Kopusha

#1 2019-01-02 09:46

Друзья, с НОВЫМ 2019 годом! Пусть в этом году котонти не стоит на месте!

А теперь внимание, ~~черный ящик~~ вопрос!
В служебных директориях в корне лежит пустой index.html со следующим содержанием

<h1>Forbidden</h1>
<!-- No directory listing available -->

Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы.
Какие еще шаги сообщество предложит для более грамотного вопроса бесопасности?
Спасибо!

Added 21 minutes later:

Сам же начну отвечать на свой вопрос
Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку.

Это плагин Marketorders, люди покупают файлы и качают их. Что бы не качали получив ссылку на свой оплаченный и другие файлы (люди не переименовывают их к примеру и вполне можно введя прямую ссылку на datas/marketfiles/diplom.txt его скачать, а заставить систему переименовывывать в неудобночитаемо тоже не выход) сделано так -
при добавлении переименовываем в sys.now+cot_randomstring+оригинальное_имя
На выходе имеем что то вроде 20190129105276c00404c259Diploma.txt
Дико удобно искать файл руками по ftp в случае чего - все и отсортировано да и зная дату можно дернуть по поиску и исключает перебор.

Bu konu Kopusha tarafından düzenlendi(2019-01-02 10:07, 5 yıllar önce)

Roffun	#2 2019-01-02 17:04
Contributors Thanked: 175 zaman	#43939 Kopusha: В служебных директориях в корне лежит пустой index.html со следующим содержанием <h1>Forbidden</h1> <!-- No directory listing available --> Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы. Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы, то в Cotonti используется: defined('COT_CODE') or die('Wrong URL.'); Также можно .htaccess положить в директорию с нужными настройками, но это индивидуально. #43939 Kopusha: Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку. Не факт что улучшение безопасности. Я когда-то писал плагин Confirmtheright, он как раз создает экстраполе для загрузки проверочных файлов для подтверждения прав на сайт. Оказалось самого экстраполя недостаточно для безопасности, нужно делать проверку на стороне сервера. #43939 Kopusha: Это плагин Marketorders, люди покупают файлы и качают их. Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно. Улетел на другую планету, а там почты нету.. https://www.cotonti.com/forums/45298?m=posts
Bu konu Roffun tarafından düzenlendi(2020-01-16 16:04, 4 yıllar önce)

Roffun

#2 2019-01-02 17:04

Contributors
Thanked: 175 zaman

#43939 Kopusha:
В служебных директориях в корне лежит пустой index.html со следующим содержанием
<h1>Forbidden</h1>

Надо ли мне (по уму) такой же файл размещать в корнях своих новых плагинов или в папках моей темы.

Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы, то в Cotonti используется:

 defined('COT_CODE') or die('Wrong URL.');

Также можно .htaccess положить в директорию с нужными настройками, но это индивидуально.

#43939 Kopusha:
Как вариант улучшения безопасности - у меня реализована заливка файлов через экстраполе file в определенную папку.

Не факт что улучшение безопасности. Я когда-то писал плагин Confirmtheright, он как раз создает экстраполе для загрузки проверочных файлов для подтверждения прав на сайт. Оказалось самого экстраполя недостаточно для безопасности, нужно делать проверку на стороне сервера.

#43939 Kopusha:
Это плагин Marketorders, люди покупают файлы и качают их.

Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно.

Улетел на другую планету, а там почты нету.. https://www.cotonti.com/forums/45298?m=posts

Bu konu Roffun tarafından düzenlendi(2020-01-16 16:04, 4 yıllar önce)

Kopusha	#3 2019-01-02 19:31
Members Thanked: 80 zaman	#43941 Roffun: Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно. На виртуальной машине не осили как заставить работать и отложил. По CONFIRMTHERIGHT не очень разобрался. У меня так - есть поле file в Marketorders которое позволяет залить .jpg одному пользователю и продавать сайту напечатанный принт на базе этого jpg. То есть после заливки кроме админа (условия есть в шаблонах) доступ к оригинальному jpg закрыт (даже владельцу). Сам jpg может заливать любой пользователь. Added 1 minute later: #43941 Roffun: Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы Речь именно о переборе статичных файлов в папке.

Kopusha

#3 2019-01-02 19:31

Members
Thanked: 80 zaman

#43941 Roffun:
Чтобы не получали доступ по прямой ссылке к таким файлам, их можно хранить выше корня, а скачивать программно.

На виртуальной машине не осили как заставить работать и отложил.

По CONFIRMTHERIGHT не очень разобрался.
У меня так - есть поле file в Marketorders которое позволяет залить .jpg одному пользователю и продавать сайту напечатанный принт на базе этого jpg. То есть после заливки кроме админа (условия есть в шаблонах) доступ к оригинальному jpg закрыт (даже владельцу). Сам jpg может заливать любой пользователь.

Added 1 minute later:

#43941 Roffun:
Index.html кладут в директорию для того, чтобы листинга файлов не было, если нужно дополнительно защитить от прямого вызова php файлы

Речь именно о переборе статичных файлов в папке.

Evgen14	#4 2019-01-04 11:18
Members	У меня на сайте человек накрутил себе баланс вот как он это сделал?

maks	#5 2019-01-04 13:21
Members	#43943 Evgen14: У меня на сайте человек накрутил себе баланс вот как он это сделал? У меня тоже самое, баланс не пополнял а на счету миллион.

Виктор	#6 2019-01-04 18:09
Members Thanked: 16 zaman	#43943 Evgen14: У меня на сайте человек накрутил себе баланс вот как он это сделал? хакер!?

maks	#7 2019-01-05 02:12
Members	Логин у него: HACKER

Kopusha	#8 2019-01-05 02:24
Members Thanked: 80 zaman	Наверное причина в том что вы даже 5 письмами в личку не смогли пояснить мне причину ваших проблем. "Как накручивают себе баланс" это не вопрос. Какие платежные системы стоят хотя бы сказали. Но вернемся к основному вопросУ - сайты торгующие чужими краденными скриптами и нужно нагибать таким образом.
Bu konu Kopusha tarafından düzenlendi(2019-01-05 10:05, 5 yıllar önce)

Kopusha

#8 2019-01-05 02:24

Members
Thanked: 80 zaman

Наверное причина в том что вы даже 5 письмами в личку не смогли пояснить мне причину ваших проблем.
"Как накручивают себе баланс" это не вопрос.
Какие платежные системы стоят хотя бы сказали.

Но вернемся к основному вопросУ - сайты торгующие чужими краденными скриптами и нужно нагибать таким образом.

Bu konu Kopusha tarafından düzenlendi(2019-01-05 10:05, 5 yıllar önce)

maks	#9 2019-01-05 17:39
Members	#43952 Kopusha: Наверное причина в том что вы даже 5 письмами в личку не смогли пояснить мне причину ваших проблем. "Как накручивают себе баланс" это не вопрос. Какие платежные системы стоят хотя бы сказали. Но вернемся к основному вопросУ - сайты торгующие чужими краденными скриптами и нужно нагибать таким образом. Здравствуйте, я вам в личку не писал. И краденными скриптами не торгую, у меня в магазине несколько авторов которые сами пишут и продают свои скрипты. Теперь к проблеме. Судя по логам накрутка была через плагин: paymarkettop. У меня платежки Payeer и Free-kassa. Скрин из базы: https://prnt.sc/m3fhup id взломщика 222. и лог с хостинга: https://cloud.mail.ru/public/Lcbj/8jwQ3Y6GA все лишние ip отсеял только ip взломщика. Время накрутки как я понял 14:20:33

maks

#9 2019-01-05 17:39

Members

#43952 Kopusha:
Наверное причина в том что вы даже 5 письмами в личку не смогли пояснить мне причину ваших проблем.
"Как накручивают себе баланс" это не вопрос.
Какие платежные системы стоят хотя бы сказали.

Но вернемся к основному вопросУ - сайты торгующие чужими краденными скриптами и нужно нагибать таким образом.

Здравствуйте, я вам в личку не писал. И краденными скриптами не торгую, у меня в магазине несколько авторов которые сами пишут и продают свои скрипты. Теперь к проблеме. Судя по логам накрутка была через плагин: paymarkettop. У меня платежки Payeer и Free-kassa.

Скрин из базы:

https://prnt.sc/m3fhup

id взломщика 222.

и лог с хостинга:

https://cloud.mail.ru/public/Lcbj/8jwQ3Y6GA все лишние ip отсеял только ip взломщика. Время накрутки как я понял 14:20:33

Kopusha	#10 2019-01-05 18:06
Members Thanked: 80 zaman	Я про предыдущего оратора Evgen14.