Насколько безопасны защищенные страницы .htaccess?

Question

Есть ли какие-либо известные недостатки в страницах, защищенных htaccess?

Я знаю, что они приемлемы для атак методом "грубой силы", поскольку количество попыток входа в систему не ограничено. И если пользователь может загрузить и выполнить файл на сервере, все ставки отключены ...

Есть ли другие недостатки .htaccess?

Answer 1

.htaccess - это просто средство указания директив конфигурации Apache для каждого каталога. Они допускают множество различных видов защиты паролем.

Если вы говорите о базовой аутентификации HTTP, то имя пользователя и пароль отправляются в виде открытого текста при каждом запросе и подвергаются сниффингу (при условии, что вы не используете SSL).

Кроме того, они подвержены обычным проблемам, от которых страдает любая система на основе паролей.

Использование базовой аутентификации HTTP не дает пользователям никакой дополнительной возможности загружать и выполнять файлы. Если они уже могут это сделать, то они все еще могут это сделать. Если они не могли, они не могли.

Answer 2

Использование .htaccess является распространенным и довольно безопасным. Однако это делает вас более восприимчивым к другим атакам, таким как уязвимости удаленного раскрытия файлов. Например, следующий код может быть использован для подрыва .htaccess.

include("./path/to/languages/".$_GET['lang']);

Эксплойт будет выглядеть так:

http://127.0.0.1/LFI_Vuln.php?lang=../../../.htaccess

Это приведет к тому, что содержимое .htaccess будет показано злоумышленнику.