NFsec Logo

Wstrzykiwanie .htaccess do aplikacji PHP

22/01/2017 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

M

imo, że nginx zyskuje coraz więcej na popularności, jeśli chodzi o główny serwer serwujący treści w internecie to Apache z jego mod_php nadal jest faworyzowany w większości systemów CMS oraz webaplikacji napisanych w języku PHP. Bardzo częstym błędem jest oddawanie pełnej kontroli takim aplikacjom i ustawianiu dla ich katalogu opcji AllowOverride na wartość All. Poniżej znajduje się kilka przykładów (w większości działają nawet z 7 wersją PHP), które po wstrzyknięciu / umieszczeniu pliku .htaccess do takiego katalogu dają ciekawe efekty:
[ czytaj całość… ]

Konfiguracja serwera Apache względem .htaccess, a jego wydajność

18/03/2012 w Administracja 1 komentarz.

W

iększość współdzielonych konfiguracji hostingowych zezwala na używanie plików .htaccess w określonych ścieżkach, gdzie przetrzymywane są strony klientów. Tyczy się to również konfiguracji przewidzianych dla dedykowanych projektów. Jak wynika z obserwacji Dawida Golunskiego przeniesienie konfiguracji z plików .htaccess (i tym samym ominięcia konieczności ich używania) do plików konfiguracyjnych hostów wirtualnych może przynieść zwiększenie wydajności serwera WWW do około 6.6% (w zależności od środowiska testowego i produkcyjnego wartość ta może być mniejsza lub większa).
[ czytaj całość… ]

Dlaczego należy unikać Multiviews i mod_negotiation w serwerze Apache?

30/01/2011 w Bezpieczeństwo Brak komentarzy.

O

pcja Multiviews w serwerze Apache jest ustawiana dla każdego katalogu z osobna. Oznacza to, że może zostać ustawiona za pomocą dyrektywy Options wewnątrz takich sekcji jak <Directory>, <Location> oraz <Files> w plikach konfiguracyjnych serwera (i hostów wirtualnych) lub w plikach .htaccess (jeśli AllowOverride zostało poprawnie ustawione). Warto mieć na uwadze, że ustawienie Options All, nie aktywuje opcji Multiviews; należy wywołać ją z osobna.
[ czytaj całość… ]