WebSite mais seguro

[xinhus 0]

Website mais seguro

Como criar um website mais seguro

 

--

 

 

• 
  Introdução
  
  

Bom, eu andei pesquisando e encontrei algumas falhas que são pequenas, mais são falhas e sem mais de longas vamos começar.

 

Começando

O primeiro erro comum é a

Listagem de diretório

 

O que é a

listagem de diretório

?

Bom quando você bota uma imagem em seu site, que esta em outra pasta (

sem ser a principal

) você digita o link dela exemplo:

 

http://www.seusite.com.br/imagens/

imagem.jpg.'>

http://www.seusite.com.br/imagens/

imagem.jpg.

 

Mas se tirar o final do link, e botar apenas :

 

http://www.seusite.com.br/imagens/

 

O sistema irá mostrar a pasta imagens (

como no exemplo abaixo

).

[spoiler=1]

 

 

Bom, é um erro tolo, mais bom quando acontece isso , permite ao usuário fazer o download de todos arquivos desta pasta. possibilitando pessoas de criar copias de seus templates/site.

 

Isso só vai acontecer se a pasta não tiver um arquivo chamado

index

para mostrar ao servidor que há uma página principal.

 

--

 

Solução

Crie um arquivo com o nome index.html, assim quando a pessoa digitar:

 

http://www.seusite.com.br/imagens/

 

O sistema vai abrir a pasta imagens e procurar uma index, caso ele ache, ele vai mostrar a index direto, deixando de mostrar a 'raiz do site'.

 

Bom após criar o arquivo abra ele com bloco de notas e dentro dele coloque isso:

 

<script>history.go(-1);</script>

 

Salve e feche o arquivo.

 

Bom esse comando vai fazer o seguinte, assim que o usuario abrir a pagina

index.html

o navegador vai pegar no histórico a pagina anterior que ele estava e vai voltar para esse.

 

Exemplo

Eu estou no site:

http://www.google.com.br

Então, agora eu mando ir para o meu site, link:

http://www.seusite.com.br/imagens/

O sistema irá abrir a index e ao abrir a index, o comando vai fazer com que eu volte no histórico, no caso, para o site da google.

 

--

 

Finalização

Coloque esta index em todas pasta que não tem um arquivo com o nome index.

Esta é uma solução prática e fácil.

 

________________

 

Segundo erro comum: Fatal error.

O que é este erro?

Bom

fatal error

é um erro que o sistema não conseguiu se recuperar e avisa ao usuario do site o que aconteceu.

Ele geralmente mostra o arquivo que deu erro e a linha do erro.

Como no exemplo abaixo.

 

Segundo a imagem, deu erro em

C:/Documents and Settings/Asus/Meus documentos/Dowloads/dllk/xampp/htdocs/whoisonline.php

na linha

11

.

Ele tambem mostrou qual erro foi, mais isso nao nos interessa aqui.

 

Bom, saber o Diretorio do seu site é algo ruim.

 

No exemplo acima da erro na pagina

 

C:\Documents and Settings\Asus\Meus documentos\Downloads\dllk\xampp\htdocs\whoisonline.php

 

Intão isso siginifica que quando eu digito o link do cara vai para a pasta "

C:\Documents and Settings\Asus\Meus documentos\Downloads\dllk\xampp\htdocs

" do computador dele.

 

Mais continua sendo inutil.

 

Ai você se ingana, no explorer o comando ../ faz subir um diretorio

exemplo

 

http://127.0.0.1:8090/pasta1/

pasta2/'>

http://127.0.0.1:8090/pasta1/

pasta2/

ao digita ../ no final do link vai para a pasta1

http://127.0.0.1:8090/pasta1/

pasta2/'>

http://127.0.0.1:8090/pasta1/

pasta2/../

http://127.0.0.1:8090/pasta1/

 

Faça o teste no seu computador, abra uma pasta e na barra de endereço no final adicione /../

e veja o que vai acontecer.

 

Se você usar meus documentos como exemplo certifique-se de estar com o link correto dos meus documentos.

 

Voltando ao exemplo, suponhamos que o link dele seja

http://127.0.01:8090/

Entao ja sabemos que

http://127.0.01:8090/

é igual a

C:\Documents and Settings\Asus\Meus documentos\Downloads\dllk\xampp\htdocs\

 

Agora vamos contar quantas pastas tem até chegar o diretorio C:

(

7 pastas

) entao 7 vezes ../

Ficando assim:

http://127.0.01:8090/

../../../../../../../

Que é a mesma coisa que C: no computador do host

 

Vamos mais longe, estamos na

C:

vamos abrir o cmd (

prompt de comando

) no host ficando assim no

XP

http://127.0.01:8090/

../../../../../../../WINDOWS/system32/cmd.exe

A mais quando eu digito isso no as barras e pontos somem e da erro

404

(

objeto nao encontrado

)

 

Claro o sistema é inteligente e sabe que você ta fora do site, mais se você trocar a

/

pelo seu valor em unicode ja muda, o valor é

%c1%9c

ficando assim:

http://127.0.01:8090/

..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9c..%c1%9cWINDOWS/system32/cmd.exe

 

Agora vai dar erro

403 forbiden ou acesso negado.

 

Ta mais ele ainda não pode fazer nada

 

Errado ,o sistema agora disse pra ele que ele não tem acesso a esses arquivos, mais ao mesmo tempo disse que esses arquivos existem, então não é bom.

Bom como meu objetivo não é ensinar a hackear sites para por aqui essa parte.

 

Existem outros valores para

/

em unicode se

%c1%9c

não funcionar procure outros.

 

Bom, agora ele tendo acesso a um "mapa" do seu computador não é nada bom.

 

Voltando ao erro

<imagen>

Você ve que no final diz, on line 11

ou seja o erro esta na linha 11,

abra o arquivo que deu erro e procure o erro.

 

Como saber se esta com erro?

 

Bom quanto no link depois da /tem

?subtopic=highscores

 

http://127.0.0.1:8090/?subtopic=highscores

Esta executando a página

highscores

Então apague o

?subtopic=

e adicione

.php

no final ficando assim:

http://127.0.0.1:8090/highscores.php

Se a pagina ficar branca esta perfeita.

 

--

 

Considerações finais

Os links usados no tutorial são fake's e se você testar ai não ira funcionar, provavelmente, pois

127.0.0.1

é ip

local

. Bom ai é outra historia,

troque

127.0.0.1

pelo seu ip (

caso você seja hoster do site

) ou ip do site.

 

 

Bom, este foi meu primeiro tutorial, espero que tenham gostado.

Conhecimento nunca é demais

 

Se vocês não entenderam algo é só perguntar abaixo, que vou procurar responder.

 

 

Créditos:

50% meus (: xinhus

50% google, onde se aprende tudo.

Editado 28 Agosto, 2010 por Rhys
--

[Velho Doidao 2]

Obrigado pela contribuição, Aprovado.

[Demoniac Maker 0]

Dava para fazer melhor mais ficou legal!!! deu para entender obrigado por me ajudar a Intender sobre site

[Rulez. 0]

Eu não intendi*-*

Eu me confundi logo no começo cara... o negocio é fazer uma esplicação mais simples...

[Nussaaa 0]

E mesmo Ta Muito Dificil De Entender..

Esse Nivel E Pra Hard's ...

;D

 

Mesmo ASSIM ..

 

Obrigado Por Compartilhar

[Pandá s2 0]

Vlw poww WEB SITE é ROX!!!

[jaozin2 0]

é baum , mas foi dificil de eu entender , principalmente pelo fato de não ter muita experiência ...

mas vlw mesmo assim

[xinhus 0]

@all :/ eu tentei fazer o mais simples possivel :S

se alguem tiver alguma duvida pode pergunta pm (:

 

ps¹ embreve outro tuto sobre paginas de erro 403/404/400 (:.htacess

 

 

vlws ai

[hugott 0]

Opa vlw ae

O tuto está bom

os novos site hj ja vem com isso arrumado

pra que nao possa te mais os error de entra nas pastas

[gpedro 47]

Boa parte disso é verdade, por isso vemos todos os dias servidores famosos sendo invadidos pelo site, SQL-Injection hoje no gesior já era.