کدی برای حفاظت از فایل های php با تغییر پسوند به Asp و Jsp در htaccess

در حالت عادی کاملا واضح هست که اسکریپت یک سایت با php هست یا asp یا js  و مشخص بودن این مورد به هکر کمک میکنه که متد هک رو انتخاب کنه چون هر اسکریپتی متد خاص خودشو داره.

میخوام کدی رو معرفی کنم که پسوند فایل های php رو ظاهر به asp یا js تبدیل میکنه و دیگه تمام فایل های php سایت شما به asp در ظاهر تبدیل میشن و هکر فکر میکنه سایت شما asp هست

البته این روش کاملا فایل های php شما رو حفاظت 100 % نمیکنه و بدین معنی نیست هیچ کسی متوجه این حقه نمیشه اما تا حدود زیادی به امنیت فایل های php و مخفی کردن پسوند اونا کمک میکنه و طبیعتا کار رو برای شناسیی اسکریپت نصب شده مثل جوملا و.. سخت میکنه و در نهایت هکر رو دچار زحمت اضافی میکنه و یک سد براش ایجاد میکنه

برای این کار درhtaccess کد زیر رو وارد کنید:

موفق باشین

TRACE and TRACK یک روش درخواست هست که باعث میشه اطلاعاتی که از طرف client یا کاربر به ibm http server ارسال میشه ، مجددا به client برگردانده میشه یک مثال ساده

خب حالا ربطش چیه؟

برنامه های مخرب (از هر نوعش مثل فیشینگ ،تروجان، کد های مخرب جاوا و...) میتونن باعث بشند که وقتی قابلیت ردیابی(TRACE and TRACK) روی سرور فعال هست با فریب مرورگر و درخواست خودسرانه اطلاعات کاربر مثل یوزنیم و پسورد و هر اطلاعاتی که به سرور آپاچی از طرف کاربر ارسال میشه به شخص ثالت دیگه ای فرستاده بشه و بدین صور اطلاعات مهم و حیاتی کاربر در اختیار دیگران قرار بگیره . این متد در جوملا هم مثل بقیه صدق میکنه و میتونه باعث حملات xss یا Cross-Site Scripting به سایت مورد نظر بشه.

برای غیر فعال کردن سرویس TRACE and TRACK و جلوگیری از حملات xss یا Cross-Site Scripting داخل فایل htaccess کد زیر رو وارد کنید:

همونطور که میدونید حملات تزریق کد بعلت نفص امنیتی در پایگاه داده معمولا بوجود میاد که البته دیگه با پیشرف و افزاریش امنیت و اصول طراحی استاندارد سایت دیگه این باگ از بین میره و امکان هم شدن از این طریف نزدیک صفر میشه اما یک کد قرار میدم که با قرار دادنش در htaccess تا حد خیلی زیادی از حملات sql injection در امان خواهید بود و در صورتی که کسی بخواد با این روش شما رو هک کنه با صفحه hack.cfm روبرو میشه

یک روش محافظت در برابر حملات xss رو گفتم .اینم یک روش دیگه برای محافظت سایت از حملات xss هست.

برای این کار داخل htaccess کد زیر رو وارد کنید:

میدونید که شل گرفتن یکی از متد های پرکاربرد هک هست و یک هکر میتونه با آپلود یک شل به سرور شما و اجرای اون شل به سرورتون نفوذ کنه. با استفاده از این کد و ایجاد فایل htaccess در پوشه مورد نظرتون جلوی اجرای بعضی از پسوند ها رو میگیرید و حتی اگه هکر بتونه آپلودم بکنه!! نتونه اجراش کنه..

کد :

یا این کد :

اگه دقت کتید داخل هر دو کد به سرور میگید جلوی اجرای فایل های: gif , jpg, png, swf, css,js,fla, رو بگیره شما خودتون به دلخواه با تغییر و یا اضافه کردن پسوند مورد نظر مطابق الگو میتونید جلو اجرای اون پسوند رو داخل پوشه مورد نظر بگیرید.

شما جلوی اجرای فایل های بالا روی پوشه ای که فایل htaccess رو ایجاد و کد رو قرار دادید رو میگیره .یادتون باشه فقط در پوشه ای که این فایل و کد رو قرار بدین مثلا یک فولدر دارید که اطلاعات حیاتی ساییتون داخلش هست با ایجاد فایل htaccess و قرار دادن این کد جلوی اجرای پسوند های مورد نظرتونو میگیرین.

جلوگیری از لیست شدن محتویات یک پوشه بدون فایل index

در حالت عادی داخل هر پوشه ای یک فایل ایندکس وجود داره که از نمایش محتویات اون پوشه جلوگیری میکنه اما گاهی اوقات بنا به دلایل خاصی ترجیح میدید داخل یک پوشه فایل index.php نباشه ولی از طرفیم بدون این فایل با وارد کردن آدرس پوشه لیست نشون داده میشه که به لحاظ امنیتی خیلی کار درستی نیست .
برای اینکه لیست محتویات یک پوشه بدون حضور فایل index.php نشون داده نشه دو تا راه معمول وجود داره که با قرار دادن هر کدوم از اونا داخل فایل htaccess اون پوشه لیست نمایش داده نمیشه . (اگه کد زیر رو داخل htaccess روت بزارید برای کل پوشه ها اعمال میشه )

کد اول:

کد دوم :

محافظت از خود فایل htaccess

میدونین که فایل htaccess حاوی تنظیمات حیاتی و اطلاعاتی مثل رمز عبور و... سایت شما باشه پس اگه کسی بتونه بهش دسترسی پیدا کنه دیگه کار سایتتون تمومه.

برای محافظت از خود فایل htaccess و عدم دسترسی توسط دیگران کافیه کد زیر رو داخل این فایل بذارین:

همونطور که میدونید و php.cgi php.ini فایل پیکربندی php هستند. php.ini از ساختار کلی فایل های ini در ویندوز تبعیت میکنه و حاوی تنظیمات اساسی اسکریپت php شماست که اگه در دسترس قرار بگیره میتونه امنیت سایت رو به خطر بندازه.

برای جلوگیری از قابل دسترس بودن این فایلها داخل htaccess کد زیر رو وارد کنید:

مرسی مطالب خوبی بود  سایتتون عاااااالیه