Anche se non blocca tutto, perche' la possibilita' di un local file
include rimetterebbe tutto in discussione, proporrei un:
php_flag engine off
nelle directory di upload.
Questo semplicemente spegne il motore php su quella dir bloccando di
fatto attacchi a Handler.
Ovviamente il tutto in httpd.conf con AllowOverride none per bloccare
htaccess.
La palla e' che poi ad ogni modifica di script e directory di upload
fei clienti devi aggiungere regole nei VHost in configurazione.
Per le remote file include non ci fai nulla se non con mod_security,
visto che allow_url_fopen non basta (ma aiuta).
Sempre che i clienti almeno questo te lo lascino fare :)
0.02 E
Stefano
ascii wrote:
Claudio Criscione wrote:
Nella directory degli upload
<Files ~ "\.php$">
Order allow,deny
Deny from all
</Files>
Cosi' non si eseguono piu' script php.
i modi per bypassare una soluzione di quel tipo non si contano
il piu' semplice:
70_mod_php5.conf: AddType application/x-httpd-php .php
70_mod_php5.conf: AddType application/x-httpd-php .phtml
70_mod_php5.conf: AddType application/x-httpd-php .php3
70_mod_php5.conf: AddType application/x-httpd-php .php4
70_mod_php5.conf: AddType application/x-httpd-php .php5
blacklist = male
ciao,
Francesco `ascii` Ongaro
http://www.ush.it/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
