htaccess受保护页面是否有任何已知缺陷?
我知道他们可以接受暴力攻击,因为对某人可以尝试登录的次数没有限制。如果用户可以在服务器上上传并执行文件,则所有投注均已关闭......
还有其他.htaccess缺陷吗?
答案 0 :(得分:5)
.htaccess只是一种基于每个目录指定Apache配置指令的方法。它们允许多种不同的密码保护。
如果您正在谈论HTTP基本身份验证,那么用户名和密码将以明文形式发送每个请求并受到嗅探(假设您没有使用SSL)。
除此之外,它们还受到任何基于密码的系统所遭受的常见问题的影响。
使用HTTP基本身份验证不会为用户授予上载和执行文件的任何其他功能。如果他们已经可以做到这一点,那么他们仍然可以做到这一点。如果他们不能,他们就不能。
答案 1 :(得分:4)
.htaccess的使用很常见且相当安全。但是它会让您更容易受到其他攻击,例如远程文件文件泄露漏洞。例如,以下代码可用于破坏.htaccess。
include("./path/to/languages/".$_GET['lang']);
漏洞利用看起来像这样:
http://127.0.0.1/LFI_Vuln.php?lang=../../../.htaccess
这将导致.htaccess的内容显示给攻击者。