В любом случае защита вашего сайта от внешнего сайта scandir
Просто наткнулся на сайт, на котором перечислены все скрытые файлы. Я использовал каталог Facebooks с именем «hashtag /», и результаты показали целую кучу файлов из http://www.facebook.com/hashtag/
Вот сайт, который делает это: https://pentest-tools.com/website-vulnerability-scanning/discover-hidden-directories-and-files
Поэтому мой главный вопрос здесь заключается в том, существует ли какой-либо способ защитить ваш сайт от сканирования другим веб-сайтом с такими секретными файлами, как: tokens.php, sessions.php, шаблоны /, models / configs /…так далее???
Это меня сейчас очень беспокоит, просто скажем, что мы создаем веб-сайт, который содержит важные файлы и структуры, и если кто-то хочет посмотреть, что мы храним в этой конкретной папке, есть ли какой-нибудь способ предотвратить показ этого на этом веб-сайте? или любые другие сайты, которые делают эту операцию?
Я знаю, что вы можете сделать это с помощью .htaccess, но не могли бы вы показать пример предотвращения сканирования нескольких папок?
Решение
Основной вариант Indexes Вы можете отключить их в своем .htaccess с
Options -Indexes
Второй вариант — блокировка Deny
Order Deny,Allow
Deny from All
Скажем, у вас есть папка с именем inc он содержит некоторые файлы, которые вы не хотите, чтобы они были доступны через URL, но вы хотите, чтобы другие скрипты PHP могли включать их, вы бросаете это правило в .htaccess файл в вашем inc папка.
Вот ссылка на отличный ресурс на .htaccess правила https://github.com/phanan/htaccess
Другие решения
Одним из распространенных подходов является размещение файлов, к которым нет прямого доступа, ниже корневого веб-каталога, поэтому они недоступны из Интернета.
Например, если у вас есть веб-root на var/www/html, поместите ваш исходный код снаружи html и будет невозможно загрузить из интернета. Это, однако, требует, чтобы вы использовали какую-то загрузку / требование файлов в вашей структуре, но это довольно распространено в наши дни. Увидеть PSR-4: автозагрузка.
У инструмента, на который вы ссылаетесь, нет «волшебного» способа поиска файлов, поскольку блокировка / скрытие файлов с помощью Apache является абсолютным, см. этот Ответьте за подробности .htaccess. Инструмент просто пробует набор слов и общих имен файлов и проверяет правильность ответа 200. Если вы не переместите свои файлы за пределы веб-корня, от этого невозможно защититься.
Как вы говорите, это возможно, запретить доступ к каталогам и файлам с помощью .htaccess, а также отключить список файлов, однако следует помнить, что настройки .htaccess наследуются от каталога к каталогу, что означает, что если вы заблокируете весь доступ на корневой уровень, это будет применяться к каждому отдельному файлу и каталогу, которые он содержит.