Dzień dobry.
Czy jeżeli mam stronę (np. z plikiem index.html) i w tym pliku nie umieszczę linka do pliku w innym katalogu, który jednak istnieje, to czy jest możliwość wylistowania go przez użytkownika korzystającego z przeglądarki? Katalog ma losową, niesłowną nazwę.
+-index.html
|-katalog_lsjdkfkjdsf
Dzięki
M.
To zależy od konfiguracji serwera. Dlaczego sam tego nie sprawdzisz?
Konkretniej, to używając przykładowo Apache możesz wrzucić dyrektywe Options +Indexes lub Options +NoIndexes
Nie ma możliwość aby serwer pozwolił na listowanie plików sam z siebie dla użytkowników z zewnątrz, chyba że pojawi jakiś bug w kolejnej wersji który to umożliwi.
bez BruteForce wejść do katalogu, jeżeli nie będzie zgadywać sam?
Tak, jeśli będzie miał wystarczająco czasu i ochoty, to może się dobijać na wszelkie możliwe kombinacje, aż w końcu zgadnie. Pytanie - czemu miałby to robić? Stron w necie są miliardy, więc nierealne jest, żeby automat przeskanował wszystkie możliwości na wszystkich serwerach/domenach.
Jak koledzy pisali - jeśli masz wyłączone listowanie zawartości katalogów (w przypadku Apache - https://tecadmin.net/disable-directory-listing-apache/) to nikt tego nie zobaczy.
ALE nie traktuj tego jako zabezpieczenia trzymanych tam danych. Bo wystarczy że gdzieś jakiś link się wymknie i będzie problem. Jeden z userów 4P parę miesięcy temu miał podobną wpadkę - miał swoją stronę, ale jak się wpisało na Google site: stronaTegoGoscia.pl to w wynikach było wiele linków do "ukrytych" katalogów. A w nich jakieś jego prywatne osobiste listy, zdjęcia pism wysyłanych do sądów, listy do dziewczyny i inne dość intymne sprawy. Nie polecam.
A jeżeli mimo wszystko chcesz tam trzymać pliki, utwórz w tym katalogu plik .htaccess z zawartością:
Order deny,allow
Deny from all
Allow from [TWOJ ADRES IP]
Jeśli nie IP to plik .htpasswd i autoryzacja hasłem.
Niby nie (wiele skryptów na tym bazuje i dodaje pusty index.html), ale zdarzały się sytuacje że podczas rekonfiguracji serwera, w wyniku błędu albo reuploadu nowej wersji index.html na chwilę zniknął i były listowane wszystkie pliki. Wtedy jakieś google mogło zdążyć zaindeksować treści, co gorsza dodając link do indeksu i później aktualizując już zawartość regularnie
Jak masz tam tylko jakieś skrypty / pliki które chcesz includować / czytać w aplikacji to najbezpieczniej je po prostu umieść folder wyżej
/user
├── www <- root hostowanej strony
│ └── index.html
└── katalog_lsjdkfkjdsf
najbezpieczniej je po prostu umieść folder wyżej
Albo poziom niżej, a następnie przez .htaccess zablokuj dostęp z zewnątrz do tej lokalizacji.
Chyba się udało
Możecie wejść na https://fillthecode.com/AnonimCV.pdf ? :P
obscurity napisał(a):
Niby nie (wiele skryptów na tym bazuje i dodaje pusty index.html), ale zdarzały się sytuacje że podczas rekonfiguracji serwera, w wyniku błędu albo reuploadu nowej wersji index.html na chwilę zniknął i były listowane wszystkie pliki. Wtedy jakieś google mogło zdążyć zaindeksować treści, co gorsza dodając link do indeksu i później aktualizując już zawartość regularnie
Jak masz tam tylko jakieś skrypty / pliki które chcesz includować / czytać w aplikacji to najbezpieczniej je po prostu umieść folder wyżej
/user ├── www <- root hostowanej strony │ └── index.html └── katalog_lsjdkfkjdsf
Potrzebuję mieć to w folderze www, bo testuję stronę pod kątem responsywności na telefonie ;)
mpaw napisał(a):
Chyba się udało
Możecie wejść na https://fillthecode.com/AnonimCV.pdf ? :P
W zasadzie dobrze, tylko w monicie o podanie danych autoryzujących brakuje ci polskich liter.
No i pamiętaj zawsze, że internet nie zapomina :>
Page 1
Gall Anonim
ul. Przepiękna 1/3
111 – 222 – 333
[email protected]
WYKSZTAŁCENIE
2010 – 2013
Szkoła policealna, Technik informatyk
2005 – 2010
Studia na Polibudzie Informatyka (studia przerwane)
DOŚWIADCZENIE ZAWODOWE
2018 – 2018
Firma 3
PROGRAMISTA (STAŻ ZAWODOWY)
Programista C#, Visual Basic, T-SQL
Tworzenie dodatków do Comarch ERP XL
2017 – 2018
Firma 2 bis
PRACOWNIK ADMINISTRACYJNO – BIUROWY
Opracowywanie zestawień w Excelu
Programowanie makr Excela w VBA
Programowanie C++, postgreSQL, FLTK
2014 – 2015
Firma 2
PRACOWNIK ADMINISTRACYJNO – BIUROWY
Prowadzenie szkoleń dla pracowników z zakresu obsługi programów
Word oraz Excel
2012 – 2013
Firma 1
PROGRAMISTA
Programowanie modułów Lua w CORONA SDK dla systemów Android i
iOS
Programowanie C# XNA pod Windows Phone SDK 8.0
DODATKOWE KWALIFIKACJE i INFORMACJE
Komunikatywna znajomość języka angielskiego w mowie i piśmie
Średnio zaawansowana znajomość języków C/C++
Podstawowa znajomość HTML5 i CSS3 (wspierana dokumentacją)
Podstawowa znajomość PHP i My SQL (wspierana dokumentacją)
Bardzo dobra znajomość MS Office(Word oraz Excel) i Open Office
Bardzo dobra umiejętność obsługi komputerów z systemem Windows (XP/ Vista/ 7/
8/ 10), oraz podstawowa z systemem Linux
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu realizacji niezbędnych czynności związanych z
rekrutacją (zgodnie z art. 7 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE zwanego dalej RODO). Jednocześnie oświadczam, iż wyrażam zgodę na udostępnienie danych dot. mojej
niepełnosprawności, a także zgadzam się na ich przetwarzanie godnie z treścią art. 9 ust. 2 lit. a) RODO.
Page 2
Samodzielność, odpowiedzialność za wyniki podejmowanych działań
Motywacja do pracy i poszerzania zakresu posiadanych umiejętności
2013 – 2018 wykonywanie pracy w charakterze wolontariusza: Fundacja oraz
Akademia Przyszłości
ZREALIZOWANE PROJEKTY KOMERCYJNE
Gra Tytuł 1 w CoronaSDK (język Lua)
- zaprogramowanie logiki gry (bez grafiki, FX i muzyki)
Gra Tytuł 2 w Corona SDK (język Lua) i XNA 4.0 (C#)- obecny tytuł – Tytuł 2 bis
- zaprogramowanie logiki gry (bez grafiki, FX i muzyki)
Gra Tytuł 3 w XNA 4.0 (C#)- zaprogramowanie logiki gry (bez grafiki, FX i muzyki)
ZAINTERESOWANIA
Matematyka
Muzyka (gra na gitarze i fortepianie)
mpaw napisał(a):
Potrzebuję mieć to w folderze www, bo testuję stronę pod kątem responsywności na telefonie ;)
to skoro chcesz tylko testować stronę i nie wystawiać jej publicznie to czemu nie postawisz lokalnie serwera www na komputerze