Gibt es ein Sicherheitsrisiko bei der Offenlegung von PHP-Ordnernamen? Wenn ja, gibt es eine Möglichkeit, die Ordnernamen zu verstecken, die in meinen HTML-Hyperlinks und in meinem Ajax-Code existieren?Ausblenden von Ordnernamen in HTML und AJAX
Antwort
Gibt es eine Sicherheitsrisiko PHP Ordnernamen in enthüllt?
Einfach zu sagen "Nein" ist eine schlechte Antwort. Die Antwort sollte lauten: "Es kommt darauf an". In den meisten Fällen ist das Offenlegen von Ordnernamen ein minimales Risiko, aber abhängig von den Informationen, die Sie verdecken/verbergen möchten, kann es sich lohnen, die Ordnernamen auszublenden. Wie @Nogad darauf hinweist, solltest du nicht nur Unklarheiten nutzen, um deine potenziellen Probleme zu verbergen, sondern solltest dich auch darauf konzentrieren, die eigentliche Anwendung zu sichern.
Zum Beispiel:
- aktiviert ist Verzeichnis-Indizes? Wenn jemand einen Ordnernamen kennt und Verzeichnisindizes aktiviert sind, können sie den Inhalt dieses Ordners auf Ihrer Site anzeigen. Dadurch können bestimmte Elemente Ihrer Site angezeigt werden, die Sie privat halten möchten.
- Ihre Ordner enthalten Dinge, die einfach über einen Roboter gecrawlt werden können. Es gibt viele Skripte, die darauf ausgelegt sind, nach gängigen Dingen wie "admin.php" oder "/admin/index.php" zu suchen. Vielleicht möchten Sie das ausblenden, um es Hackern zu erschweren, ein Skript zu finden.
- Lassen Sie uns zum Beispiel tun. Nehmen wir an, Sie haben einen Ordner
/secretz428
, der zwei Dateien enthält./secretz428/image.php
und . Wenn Sie Ihre Frontend-Benutzer mit/secretz428/image.php
belichten, versuchen sie möglicherweise, in diesen Ordner zu graben. Dies kann unteradmin.php
geschehen. Wenn für dieses Skript keine Sicherheit besteht (oder Hacker anfällig sind), können Sie Ihre Website für einen Angriff öffnen. Je mehr Sie von Ihren Benutzern verblüffen, desto schwieriger ist es für Sie, Reverse Engineering durchzuführen und Exploits in Ihrer Anwendung zu finden.
Gibt es eine Möglichkeit die Ordner-Namen zu verstecken, die in meinem HTML-Hyperlinks und in meinem Ajax-Code gibt es?
Sicher. Eine Möglichkeit besteht darin, es in einem PHP-Skript zu verbergen. Zum Beispiel:
index.php:
switch ($_GET['id'])
{
case '1':
include('secret_folder/mysecretscript.php');
break;
}
Gibt es ein Sicherheitsrisiko bei der Offenlegung von PHP-Ordnernamen?
NO
- 1. Suchen und Ersetzen von Dateien und Ordnernamen
- 2. ausblenden HTML-Element von ID
- 3. zeigen und ausblenden Oberseiten Registerkarte über AJAX
- 4. frames html und ajax
- 5. ein bestimmtes Div aus HTML Ajax-Antwort ausblenden
- 6. Wie Zeile in HTML ausblenden
- 7. Vorherige HTML-Sektion innerhalb von jQuery ausblenden
- 8. Ajax und HTML Lossing HTML-Änderung
- 9. Td in HTML-Mail ausblenden
- 10. HTML-Kommentare ausblenden
- 11. HTML/CSS: Text ausblenden und Rahmen anzeigen
- 12. HTML-Tabellenspalten ausblenden
- 13. Lokalisieren von SharePoint 2010-Ordnernamen
- 14. HTML Tabellenzeilen ausblenden
- 15. Array von Ordnernamen ohne Leerzeichen in Bash
- 16. html colspan Problem beim Ausblenden von Spalten
- 17. Wie HTML-Elemente ohne HTML dom mithilfe von JavaScript ausblenden?
- 18. Eclipse und m2eclipse Plugin versteckt Teile Ordnernamen
- 19. wie HTML-Button-Auswahl ausblenden?
- 20. ausblenden und anzeigen li Attribut in verschiedenen html mit Javascript
- 21. Elemente in Angular ein- und ausblenden
- 22. Okay, Unterstriche in Datei- und Ordnernamen in PHP zu verwenden?
- 23. Spalte in einer verschachtelten HTML-Tabelle ausblenden
- 24. Laden von HTML von jQuery Ajax POST
- 25. Extract Ordnernamen und Dateinamen von FilePath mit scala
- 26. Ausblenden/Deaktivieren von Text in HTML mit Javascript Datum Objekt
- 27. Vue-Komponenten und AJAX geladen HTML-Inhalt
- 28. Senden Sie HTML mit FormData und Ajax
- 29. Rand in HTML-Formular oder Eingabe ausblenden
- 30. Show ausblenden von HTML-Tabelle funktioniert nicht in Javascript (IE8)
Sicherheit durch Unklarheit ist überhaupt keine Sicherheit. https://en.wikipedia.org/wiki/Security_through_obscurity – nogad
@nogad Zitat aus diesem Wiki "Ein System kann die Dunkelheit als eine Ebene der Tiefenverteidigungsstrategie verwenden, die mehrschichtige Sicherheit mit sich bringt." Meine Antwort ist direkt in diese Richtung, aber ich werde mehr Nachdruck darauf legen, dass es nicht das Einzige sein sollte, was Sie sicherheitshalber tun sollten. – FrankerZ