|
Pomoć oko mod_rewrite
dragi forumaši,
imam jedan problem, instalirao sam noah`s classfields i traži neke izmene koje uopšte ne znam kako da izvedem. nikad to nisam radio pa bih zamolio nekog da mi objasni korak po korak - znači od nule. pogledao sam nešto, ali uzalud, a ne bih da nešto zabrljam, pa da mi posle treba večnost da ispravim. evo linka šta treba da se uradi: http://www.noahsclassifieds.org/docu...n/rewriterules |
Da li je to shared hosting ili dedicated server?
Ako je shared, tj. ako nemaš pristup httpd.conf onda ignoriši sve gde se pominje httpd.conf, kod velike većine provajdera mod_rewrite je već omogućen po defaultu. Dakle napravi .htaccess file u root folderu tvog sajta i tamo copy&paste sve ono što piše da treba da ide u .htaccess i to je to... |
obrisao sam ono sto je bilo po defultu pa sam pastovao
Kôd:
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} !-dDa li u ovom slučaju postoje neki sigurnosni propusti ili tako nešto što može da se skrši? |
pa ako nije lepo sanitizovan parametar url moze da bude :)
|
kako bih to mogao da znam pa da sprečim?
|
Pogledaj malo tematiku oko XSS. Ovo nije vezano za mod_rewrite, vеć uopšte za URL.
XSS se obično manifestuje tako što ti se kao jedan od parametara prosledi neki JavaScript koji ti onda nehotično ispišeš na svojoj web strani (jer taj parametar ispisuješ inače) što dovede do toga da se izvrši i maliciozni JavaScript kod umetnut na tvoju stranu kroz parametar. Po tom pitanju, možda je mod_rewrite čak i sigurniji od dinamičkih URL adresa. Recimo, ako navodiš kategoriju kao URL parametar mojsajt.com/prikaz.php?kategorija=Sport i ukoliko XSS nije sanatizovan kroz skript, postoji mogućnost da neko prosledi URL tipa mojsajt.com/prikaz.php?kategorija=<script>alert('prc');</script> ili slično Sad druge strane ako koristiš mod rewrite, možeš napraviti rule: RewriteCond %{REQUEST_URI} ^/kategorija/[a-zA-Z]+$ zahvaljujući čemu sprečavaš bilo šta što nije sastavljeno samo od slova ([a-zA-Z]) da prođe na skript za prikaz kategorija. P.S. Verujem i da će se jedan DTP korisnik ubrzo javiti na ovaj thread sa više informacija o XSS-u. :) |
Pa lepo ti je mileusna objasnijo... samo se uveri da se svi parametri u url-u lepo obradjuju... to jest da ih ne koristish pre ciscenja. Dozvoli samo velika i mala slova brojeve i srednju i donju crtu ;)
|
Za sprečavanje XSS-a je krucijelno enkodiranje svega što se ispisuje na HTML strani a prosleđuje se kao URL parametar.
Dakle ako ti neko prosledi parametar <script>alert('prc');</script> i ti ga takvog ispišeš u HTML onda će se na tvojoj stranici izvršiti maliciozni JavaScript. No, ukoliko svaki URL parametar pre ispisa provučeš kroz, recimo u slučaju PHP-a, funkciju htmlspecialchars, onda će se <script> pretvoriti u <script> i tretiraće se kao tekst te postaje bezopasan. Naravno ima tu još toga, nisam stručnjak, ali vođenje računa o ovome zatvara mislim 95% XSS rupa. |
hvala na odgovorima, nadam se da ću u skorije vreme razumeti o čemu pričate ;)
|
| Vreme je GMT +2. Trenutno vreme je 13:09. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.