Vixual

弱点扫瞄

弱点: Site does not enforce HTTPS

The site responds to HTTP requests without ultimately redirecting the browser to a secure version of the page. Since the site allows plaintext traffic, a man-in-the-middle attacker is able to read and modify any information passed between the site and the user. There are a variety of situations in which an attacker can intercept plaintext traffic in a man-in-the-middle position, including but not limited to:

1. Open Wi-Fi Hotspots
2. WPA/WPA2 encrypted hot-spots where the attacker connected before the victim
3. Malicious Wi-Fi access points
4. Compromised switches and routers
5. ARP poisoning on the same wired network

It's important to remember that in many of the above situations, an attacker can not only read traffic, but also actively modify the traffic. Even if a site that does not contain sensitive information, an attacker can still inject malicious content to a user’s browser.

• Severity: High
• Risk: Site does not enforce the use of HTTPS encryption, leaving the user vulnerable to man-in-the-middle attackers (who can falsify data and inject malicious code).
• Recommendation: Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS.

Read more

本站曾用过 Limit Login Attempts 这个 WordPress 的外挂程式，用以防止被暴力破解登入密码。当有人一直以错误的密码进行登入时，就会对其 IP 进行几个小时的封锁，然后 mail 通知你又有什么 IP 被封锁了，效果其实也还不错。

不过其实只要用“.htaccess 的权限认证方式”，就可以针对 wordpress 的 wp-login.php 这个单一档案做防护，也可以达到很好的效果。

.htaccess 认证

首先找一个安全的地方放置 .htusers 这个档案。所谓的“安全”，是指至少不要在网页可以被下载到的路径。.htusers 的设定方式请参考本站另一篇文章:

• .htaccess 的权限认证方式

密码请不要用跟 WordPress 原本的登入密码一样。

编辑 wordpress 目录下的 .htaccess，在档案最后如入:

AuthType Basic
AuthName "Restricted Area"
AuthUserFile "/path/to/.htusers"
<Files wp-login.php>
require valid-user
</Files>

如果你想进一步针对整个 wp-admin 目录做防护，则进到 wordpress 下的 wp-admin 目录，新增或编辑 .htaccess，一样在档案最后如入:

AuthType Basic
AuthName "Restricted Area"
AuthUserFile "/path/to/.htusers"
require valid-user

参考网页

• Dynamic Drive: .htaccess password generator
• 限制WordPress后台登入次数、封锁IP、防骇客入侵 – 香肠炒鱿鱼
• 帮WordPress后台筑城墙 « 高登工作室
• 隐藏 WordPress 后台网址 « 高登工作室
• WordPress 如何防范暴力攻击 Brute Force Attack « 高登工作室

如果你在上传图片时，出现:

 Http Error

或是发表文章时，出现

You don’t have permission to access /wordpress/wp-admin/post.php on this server.

这是 Apache 的 mod_security 造成之错误，这时候你可以在 wp-admin 的目录下新增 .htaccess 档案，内容如下:

<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>

这样应该就可以轻松解决了。

参考网页

1. 窄多之Blog: PHP post error: Forbidden - You don't have permission to access
2. Hongkiat: WordPress 2.5 Image Upload Error [Wordpress Fix]

一般我们租用的虚拟主机无法让我们修改 httpd.conf，所以只能透过使用 .htaccess 来自订“404 找不到网页”的页面。

Read more

一般网站基于安全性及隐私权…等的原因，管理者通常会将网站上的目录浏览功能(Indexes)给关闭，让访客无法直接看到网站上放了些什么档案。

但人性总是予盾的，关闭了的功能，在某些时候又会想要启用，因为人们总是在失去的时候才感到后悔莫及...(Sorry，离题了)。因此，我就写了这个简单的 PHP 小程式，当我们需要在特定目录启用浏览的功能时 ，除了请管理者帮忙，或者自己修改“.htaccess”之外，只要有这个小程式就可以解决问题了。
Read more

转载自: 黑客基地

其实 google 搜寻器变了骇客工具也不是新闻，老手早亦用到，新手的也可来试试。

只要将以下字串作搜寻的话，你都得到很多密码，当然若要得心应手便需要更多研究及借助其他软件，但初步先懂得去找。

inurl

“inurl”是骇客重要的搜寻方法，可搜到网址包括的关键字，例如输入“allinurl:login password”作搜寻，便会很易找到有 login 和 password 的网页。

filetype

“filetype”是骇客专用语法，例如想找 mdb 的数据库档案，可用“password filetype:mdb”作搜寻，便会找到密码文件，进阶用法可配合 inurl: 使用，例如 girl filetype:jpg site:com 便可搜到所有 .com 网站，而档案为 girl.jpg 或网页内容有 girl 字串的网页。

Index of /admin

“Index of /admin”搜到的结果大多数是容许使用 index browsing 的网站，随便按下一个连结便看到网站的资料夹和档案分布。

Read more

转载自: 小红帽技术论坛

Part I

AllowOverride 的属性功能

AllowOverride Limit 允许覆写原连结属性的范围
AllowOverride Authconfig 可做密码设定: 如: 藏密
AllowOverride Options 可将该目录之 Options 功能覆写
AllowOverride FileInfo 可将该目录之任何文件型态覆写, 如: DefaultType, ErrorType
AllowOverride Indexs 可将该目录之显示打印功能覆写, 如: AddIcon, HeaderName, ReadName

Options 的属性功能

Indexs 当无 index.html 可用打印目录方式显示, 如: center3 homepage 若用 -Indexs 则看不见 listing
FollowSymLinks 加一属性如 +FollowSymLinks 可允许使用 symbol link 时, 依旧可浏览
ExecCGI 当为 +ExecCGI 可执行 CGI SCRIPT
Includes 可执行 Server site include, 若为 +Includes
IncludesNOEXEC 可执行 Server site include, 若为 +Includes, 但不可执行 CGI
None 没有任何功能可用
All 均可
总之, 以 +, - 符号可加或删减其功能, 若未给符号, 则只有初步功能

Read more

.htaccess 让你不用写程式，就可以用最简单的方式做出“网页登入”的功能，限制哪些用户能进到网页的某一层目录。

建立用户验证资料

建立用户验证档

建立用户验证档，并新增一组帐号及密码:

htpasswd -c /path/to/.htusers UserName1

这里所产生的 .htusers 是一个文字档，里面会有用户名称及编码过的密码。第一次建立档案时，必须加 -c 参数。同时，请找一个安全的地方放置 .htusers 这个档案，所谓的“安全”是指至少不要在公开网页可以被下载到的路径，例如放在 public_html 的上一层。

继续增加第二组帐号及密码到验证档时，就不用加 -c 参数:

htpasswd /path/to/.htusers UserName2

建立群组资料档

如果用户比较多，你可能会想要用群组的方式来做管理。群组资料档的目的是要将多个用户设为一个群组，请新增或编辑 /path/to/.htgroups，依需求增加类似如下的设定:

Group1:UserName1 UserName2

代表 Group1 包含 UserName1 与 UserName2 这两个用户。

验证登入

在欲执行用户验证的网页目录下，建立一个 .htaccess 档案，验证的方式可针对用户或群组，差别在于 require 这个参数。

针对用户:

AuthName "Restricted Area" # 名称必须用英文
AuthType Basic
AuthUserFile /path/to/.htusers
require user UserName1 # 仅针对特定用户，以空白分隔多个用户

上述的最后一行是只有 UserName1 允许进入，你也可以改成:

require valid-user # 针对全部用户

表示针对 .htusers 里的所有用户。

针对群组:

AuthName "Restricted Area" # 名称必须用英文
AuthType Basic
AuthUserFile /path/to/.htusers
AuthGroupFile /path/to/.htgroups
require group Group1 # 仅针对特定群组的用户，以空白分隔多个群组

表示针对 .htgroups 里，归属于 Group1 下的用户。

针对特定档案:

若你只想针对特定档案做保护，那可以与 <Files>~</Files> 一起使用:

<Files FileName>
     require valid-user
</Files>

<Files>~</Files> 一次只能填写一个档案，但支援正规表示式。以下是使用正规表示式限制图档存取的范例:

<Files ~ "\.(gif|jpe?g|png)$">
     require valid-user
</Files>

或是:

<FilesMatch "\.(gif|jpe?g|png)$">
     require valid-user
</FilesMatch>

设定好之后，当用户要存取该目录 (或档案)，就会跳出叫你登入的对话框:

另外，你也可以在网址中直接输入你的帐号、密码，格式:

 http://UserName:Password@www.example.com/directory/

问题排除

如果在设定 htaccess 认证方式之后，在进入网页时，仍然没有跳出验证的对话框，则请编辑 /etc/httpd/conf/httpd.conf，搜寻相关的“AllowOverride”设定，改成:

AllowOverride All

安全性问题

虽然用户储存在 Server 端的密码有经过加密，但因为是采用 Basic 方式验证，当要存取网页时，用户输入的帐号与密码仅是以 Base64 编码，包裹在 Headers 里进行传输，有机会被窃听之后解码、盗用! 网站必须导入 SSL 才能完全在传输的过程中加密。

参考网页

• Authentication and Authorization - Apache HTTP Server Version 2.4