将Protector放置在DocumentRoot中会存在漏洞 - 安全 - XOOPS新闻 - XOOPS网络应用程序系统

XOOPS

新闻

新闻 XOOPS世界开发者破解主题存档投稿新闻

安全：将Protector放置在DocumentRoot中会存在漏洞

发布者: phppp于 2009/1/9 9:30:00 16756次阅读

我们已了解到一个漏洞，如果将Protector放置在DocumentRoot中

这适用于所有版本的XOOPS，如果包含Protector的XOOPS_TRUST_PATH（或xoops_lib）目录放置在DocumentRoot中

正如我们之前一直与您沟通的（例如在本文指南：让你的XOOPS安装更加安全的指南中），最佳解决方案是将您的xoops_lib文件夹放在webroot路径之外。您还应该将xoops_lib的名称更改为不同的名称，并相应修改mainfile.php文件。

如果无法这样做，请添加.htaccess以保护您的Protector模块

 order deny,allow  
 deny from all

.htaccess应放在/xoops_lib或XOOPS_TRUST_PATH的相应名称下。

如果服务器不允许或启用了.htaccess，请在您的服务器上关闭global_register。

如果无法执行上述任何操作，那么唯一的解决方案是从您的服务器中删除Protector模块，等待该模块的完全修复。

当然，最好的情况是拥有干净和安全的代码。不幸的是，我们错过了这个安全漏洞，但我们正在努力解决这个问题，并将尽快发布。

评论归作者所有。我们不对其内容负责。

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

发布 01/09/2009 23:19 更新 01/12/2009 5:13 加入评论

从XOOPS包中移除protector不是一个好主意。

您可以通过在安装和升级向导中添加新警告来修复此问题，强制用户重命名XOOPS_TRUST_PATH文件夹。

或者在安装和升级向导期间自动将其重命名为随机名称。

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

blackrx 发布 01/10/2009 13:15 更新 01/12/2009 5:14 相当活跃加入 02/05/2008 评论 227

我已经更改了 xoops_lib 和 xoops_data 文件夹的名称...但如果可能的话，在安装/升级过程中最好生成一个随机名称的文件夹来替换 xoops_lib & xoops_data

顺便问一下...如果用户想选择 htaccess 选项，我们应该在 htaccess 中添加什么行？

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

Defkon1 发布 01/10/2009 14:32 更新 01/12/2009 5:14 不太害羞说话加入 01/27/2005 评论 151

2.0.x 分支受此漏洞影响吗？

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

Mamba 发布 01/10/2009 15:11 更新 01/12/2009 5:14 版主加入 04/23/2004 评论 11375

@ Defkon1
不幸的是，之前的 Protector 版本也受到影响。因此，如果可能的话，请确保将 Protector 放在根目录之外。

@blackrx

我们正在对安装程序进行修改

 order deny,allow 
deny from all

并将 .htaccess 文件放置在 /xoops_lib (或你叫它的名字) 目录中

Re: 将Protector放置在DocumentRoot中会存在漏洞

webmystar 发布 01/10/2009 15:40 更新 01/12/2009 5:15 Xoops 之友加入 06/23/2008 评论 415

引用

2.0.x 分支受此漏洞影响吗？

不是直接。 protector 模块与 xoops_lib 结构一起只在 XOOPS 2.3.x 上...重要：排除你的 XOOPS 信任路径在 XOOPS 根文件夹中

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

alfred 发布 01/10/2009 16:04 更新 01/12/2009 5:15 相当活跃加入 10/29/2005 评论 249

所有包含 XOOPS_TRUST_PATH 的 DocRoot 版本！

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

ghia 发布 01/12/2009 13:03 社区支持成员加入 07/03/2008 评论 4953

应添加到 XOOPS 的先决条件中
引用

您的服务器应提供至少一个位于网站根目录之外（不在公共 html 区域）并具有 php 执行权限的目录。如果您对此有疑问，请联系您的托管服务提供商了解此可用性。

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

发布日期 01/14/2009 17:30 加入时间评论

在根目录外放置安装的一部分作为先决条件是个糟糕的主意。这无疑会造成很多困惑，新手可能会认为XOOPS是一个难于安装和管理的CMS。核心安装必须直接且简单！

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

kiwiguy 发布日期 04/13/2009 8:20 XOOPS之友加入时间 04/19/2004 评论 295

对于希望弄清楚这一点的初学者来说，非常困惑。我们能为一像我们这样的外行人提供一个解释吗。

user

Re: 将Protector放置在DocumentRoot中会存在漏洞

joat 发布日期 04/18/2009 9:53 随意查看加入时间 03/03/2009 评论 19

好吧，任何HTTP服务器都有一个重要的参数，即DOCUMENT_ROOT。这意味着什么？以共享主机为例。当你获得一个账户时，你的主目录是/home123/yoursitename。
在这里，你有权在任何地方读取和写入。但，只有出于目录及以上可以作为HTTP内容被服务。
通常，在Unix的主机上是public_html（或www或htdocs...）这样的目录，所以指向该目录的路径称为DOCUMENT_ROOT，在我们的例子中是/home123/yoursitename/public_html。当HTTP服务器启动时，它可以访问任何类型的文件，但只能访问DOCUMENT_ROOT内的文件。PHP本身独立于HTTP服务器工作，可以几乎无障碍地访问任何文件，只要你有客户端访问权限。这里有一个点，如果由于某些原因服务器端PHP解释器失败或对AddHandler参数的.htaccess设置不正确（这有时确实会发生），则HTTP服务器会以与html文件相同的方式暴露php文件的内容。你可以看到包含数据库名称及其密码的主file.php的内容。一般情况下，PHP文件在服务器上运行并向HTTP通道返回其结果。因此，隐藏敏感的php文件在DOCUMENT_ROOT之外的唯一原因就是为了这个。在这种情况下，如果出现问题，这些文件的内容就不会暴露给全世界。
其他CMS，如Drupal、Joomla、e107...，仅通过使用.htaccess来保护敏感数据，但如果出现错误的配置和/或服务器问题，它们的文件将被暴露给全世界。所以，这完全取决于他们，但对于那些刚刚入门的人来说，将敏感内容移动到DOCUMENT_ROOT之外显然更好。
创建目录/home123/yoursitename/MyTrustDir，它将被称为XOOPS_TRUST_PATH。HTTP服务器本身无法访问此目录，但如果PHP正常运行，它就可以无任何问题地访问此目录。
我希望这能帮助你理解其工作原理。

引用

ghia 写道
您的服务器应提供至少一个位于网站根目录之外（不在公共 html 区域）并具有 php 执行权限的目录。如果您对此有疑问，请联系您的托管服务提供商了解此可用性。

嗯，许多托管服务提供SSH服务，我们应该使用它。 :)

如果我们在这里谈论安全性，我想向大家推荐我认为比上面的问题更重要的一点，可能更重要。那就是PHP设置。大多数现代托管提供通过Cpanel设置自己的php.ini文件的功能，但...让我们解释一下几乎所有托管服务中的一个常见问题。
它们都在您账户根目录 /home123/yoursite 中创建了一个名为 DOCUMENT_ROOT 的目录（如public_html），但同时所有电子邮件文件夹也都存在于此，是的，还有一个最受黑客青睐的目录 .htpasswds，其中保存着受保护 http 目录的密码。如果坏小子们发现了安全漏洞，并且能上传自己的 PHP 文件，那么他们就能够访问一切。如果您在同一账户下托管了许多网站，请务必保证所有网站都会被感染。

那么，我们可以做什么呢？
首先 - 将 DOCUMENT_ROOT 改得更深一些。如果主机支持 SSH 访问，您可以自己操作。
在您账户的根目录下创建一个目录，例如 /home123/yoursite/MyPublicHTTP
然后创建另一个目录
/home123/yoursite/MyPublicHTTP/http
之后，将 /home123/yoursite/public_html 中的所有内容复制到
/home123/yoursite/MyPublicHTTP/http
然后重命名 /home123/yoursite/public_html，例如
/home123/yoursite/public_html-old
之后创建符号链接
/home123/yoursite/public_html，将其指向
/home123/yoursite/MyPublicHTTP/http
就是这样。现在，提供商的 HTTP 服务器将从目录 /home123/yoursite/MyPublicHTTP/http 提供http内容
如果您没有 SSH 访问权限，请要求主机提供商操作，这对他们来说只需 5 分钟，但能显著提高您的安全性。

现在，我们再进行最后一步。您还记得我提到过的 php.ini 文件吗？（如果还在这里，您应该记得 :) ）将 Cpanel 中的 php.ini 文件（会在 DOCUMENT_ROOT 中出现）复制过来，然后在其中找到参数
open_basedir
将其设置为我们的新 DOCUMENT_ROOT，但往下一级，例如在我们的例子中就是
open_basedir = /home123/yoursite/MyPublicHTTP

就是这样。现在，您将有一个被信任的路径用于 XOOPS_TRUST_PATH，同时所有 PHP 文件被限制在 /home123/yoursite/MyPublicHTTP 及其以上的目录。PHP 不能再访问您家目录中的任何文件
/home123/yoursite/

这也许对于非技术人员来说并不容易，但如果有一天您的网站因为黑客攻击而停止工作，那也……同样不容易。

最好的祝愿，

Alex

Login

Username

Password

Remember me

Register now! | Lost Password?

Search

Advanced Search

Recent Comments

Re: New Admin Theme for XOOPS (Beta)

Publisher Bleekk 06/03/2024 18:53
Re: New Admin Theme for XOOPS (Beta)

Publisher kakos 05/29/2024 14:51
Re: XOOPS 2.5.11 Final Released

Publisher HymanSarwar 02/16/2024 5:22
Re: XOOPS 2.5.11 Final Released

Publisher Mamba 12/31/2023 15:24
Re: XOOPS 2.5.11 Final Released

Publisher alain01 12/29/2023 10:16

Who's Online

243 user(s) are online (27 user(s) are browsing XOOPS News)

Members: 0

Guests: 243

Donat-O-Meter

Stats
Goal:	$100.00
Due Date:	Aug 31
Gross Amount:	$0.00
Net Balance:	$0.00
Left to go:	$100.00

Latest GitHub Commits

{{ record.sha.slice(0, 7) }} - {{ record.commit.message | truncate }}

{{ record.commit.author.name }} {{ record.commit.author.date | formatDate }}

Archives

News archives