mboost-dp1

.htaccess-sikkered!


Gå til bund
Gravatar #1 - Daniel-Dane
1. mar. 2010 18:40
Lige nu whitelister jeg alle url'erne (good job, bro'), men jeg har tænkt mig at lege lidt dynamisk. Så her kom jeg til at tænke på sikkerheden: Kan man lave "injections" i RewriteRule, hvis jeg bruger /.+?/ ?

Eksempel:
RewriteRule (projects/(.+?)$(/)?) site.php?project=$2 [L,QSA]

I site.php checker jeg så i en DB (og jeg validerer selvfølgelig input), om projektet findes.
Gravatar #2 - zin
1. mar. 2010 23:07
Ikke så vidt jeg husker - ReWrite Rule benyttes AF Apache, FOR Apache. Men du må endelig ikke hænge mig op på det. :-)
Gravatar #3 - milandt
1. mar. 2010 23:08
Jeg husker det heller ikke, men jeg mener det modsatte af #2. Du må endelig ikke hænge mig op på det heller :-)
Gravatar #4 - zin
1. mar. 2010 23:12
Lidt googling:
http://gavin.mclelland.ca/2008/06/07/added-sql-inj...

ReWriteRule er ikke sikkert. Lav Bad-exceptions (med logging) og verificer "OK" URL'er, så burde du være på den sikre side. :-)
Gravatar #5 - milandt
1. mar. 2010 23:14
Once again I'm right
Gravatar #6 - myplacedk
2. mar. 2010 05:46
ZiN (4) skrev:
http://gavin.mclelland.ca/2008/06/07/added-sql-injection-attack-protection-with-rewrite-rules/

Det handler ikke om sikkerhedsproblemer ved RewriteRule. Det handler om at kompensere for sikkerhedsfejl i applikationen.

Et ret dårligt forsøg som generel løsning, vil jeg påstå. Fx. hvis man har en søgefunktion, kan man fx. ikke søge på "insert" uden at blive kaldt hacker.
(Medmindre søgningen foregår via POST, hvilket er en dårlig ide, eller man encoder søgestrengen på en eller andne måde via javascript, hvilket er en rigtig dårlig ide.)
Gravatar #7 - myplacedk
2. mar. 2010 05:53
Jeg kan ikke lige forestille mig hvorfor Apache ikke skulle escape korrekt. Det er en meget gammel og gennemprøvet funktionalitet.

Jeg skal ikke udelukke 100% at der er et sikkerhedshul de ikke har opdaget endnu, men hvis du bekymrer dig om det må du hellere afbryde din internetforbindelse. (Jeg går ud fra at du ikke bruger en forældet version.)

Der står i øvrigt intet om Rewrite her:
- http://httpd.apache.org/docs/1.3/misc/security_tip...
- http://httpd.apache.org/docs/2.0/misc/security_tip...
- http://httpd.apache.org/docs/2.2/misc/security_tip...
Gravatar #8 - zin
2. mar. 2010 13:10
#6+7: Ah, korrekt. Jeg læste ikke lige posten igennem. Umiddelbart var min intution rigtig. Utroligt. :-P
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login