Просто наткнулся на веб-сайт, в котором перечислены все скрытые файлы. Я использовал справочник Facebooks: «hashtag /», и результаты показали целую кучу файлов с http://www.facebook.com/hashtag/
Вот веб-сайт, который делает это: https://pentest-tools.com/website-vulnerability-scanning/discover-hidden-directories-and-files
Поэтому мой главный вопрос заключается в том, есть ли способ защитить ваш сайт от проверки на другом веб-сайте, показывающем секретные файлы, такие как: tokens.php, sessions.php, templates /, models / configs / … etc ???
Это меня действительно беспокоило сейчас, просто скажите, что мы создаем сайт, на котором хранятся важные файлы и структуры, и если кто-то хочет посмотреть, что мы держим в этой конкретной папке, есть ли какой-либо способ предотвратить это показ с этого веб-сайта или любые другие сайты, которые выполняют эту операцию?
Я знаю, что вы можете сделать это с помощью .htaccess, но не могли бы вы показать мне пример предотвращения сканирования нескольких папок?
Основной вариант – это Indexes
вы можете отключить в своем .htaccess
с помощью
Options -Indexes
Второй вариант – Deny
Order Deny,Allow Deny from All
Скажем, у вас есть папка с именем inc
которой хранятся файлы, которые вам не нужны, с помощью URL-адреса, но вы хотите, чтобы ваши другие скрипты PHP могли включать их, вы бросаете это правило в файл .htaccess
в папке inc
.
Вот ссылка на отличный ресурс по правилам .htaccess
https://github.com/phanan/htaccess
Один общий подход заключается в том, чтобы помещать файлы, которые не имеют прямого доступа под корнем веб-сайта, поэтому они недоступны из Интернета.
Например, если у вас есть веб-корневой каталог в var/www/html
, поместите исходный код вне html
и загрузить его из Интернета будет невозможно. Однако это требует, чтобы вы использовали какую-то загрузку / требующую файлы в своей структуре, но это довольно часто в наши дни. См. PSR-4: Автозагрузка .
Инструмент, с которым вы связаны, не имеет «волшебного» способа поиска файлов, так как блокирование / скрытие файлов с Apache является абсолютным, см. Этот ответ для получения дополнительных сведений .htaccess. Инструмент просто пробует серию слов и общих имен файлов и проверяет допустимый ответ 200. Если вы не переместите свои файлы за пределы веб-корня, от них было бы невозможно защитить.
Как вы говорите, это может запретить доступ к каталогам и файлам с .htaccess, а также отключить список файлов, однако вы должны заметить, что .htaccess настройки наследуются от каталога к каталогу, а это означает, что если вы заблокируете весь доступ на root, это будет применяться к каждому файлу и каталогу, который он содержит.