Скрывать robots.txt от юзеров или нет?
- Автор темы 3ner
- Дата начала
- Статус
starche
Профессор
- Регистрация
- 5 Янв 2009
- Сообщения
- 298
- Реакции
- 46
Я обычно маскирую свои сайтики под Joomla. В роботсе дописываю стандартные диры Джумлы и создаю их в корне с пустыми индексами иди фейковой страничкой 403й ошибки (Forbidden). Далее в папку administrator пихаю фейковые странички логина в админку, после попытки логина по стандарту пишется сообщение о некорректности введенных данных. На реальную админку ставлю пароль, так что никакой брутфорс мне не страшен =)
Пионеры хакерского мастерства подмены не заметят и опробовав парочку сплойтов из паблика, развернутся и пойдут дальше брутить 9знаки (ну или что там сейчас модно ломать
).
Пионеры хакерского мастерства подмены не заметят и опробовав парочку сплойтов из паблика, развернутся и пойдут дальше брутить 9знаки (ну или что там сейчас модно ломать
).
Я обычно маскирую свои сайтики под Joomla. В роботсе дописываю стандартные диры Джумлы и создаю их в корне с пустыми индексами иди фейковой страничкой 403й ошибки (Forbidden). Далее в папку administrator пихаю фейковые странички логина в админку, после попытки логина по стандарту пишется сообщение о некорректности введенных данных. На реальную админку ставлю пароль, так что никакой брутфорс мне не страшен =)
Пионеры хакерского мастерства подмены не заметят и опробовав парочку сплойтов из паблика, развернутся и пойдут дальше брутить 9знаки (ну или что там сейчас модно ломать
starche, ты ужастен)
starche
Профессор
- Регистрация
- 5 Янв 2009
- Сообщения
- 298
- Реакции
- 46
Alex-xv, что за чепуха =) Вы представляете как происходит 90% взломов?) Алгоритм примерно следующий:
1) Обозленный тинейджер, стремящийся самоутвердиться в интернете и показать какой он крутой, серфит по бесконечным просторам сети Интернет. И тут на глаза попадается какая-нибудь джумла или дле. Неважно как он определит, многие даже не смотрят на структуру ссылок, пути в коде страниц, а просто определяют движок по роботс.тхт или расположению админки.
2) Далее он топает на милворм (или другой подобный сайт) и вытягивает оттуда свеженький эксплойт для какой-либо распространенной CMS;
Сайт взломан. У некоторых людей много сайтов, своевременно обновлять движки на каждом из них не всем под силу, поэтому проще запутать взломщика элементарными средствами. Отсюда вывод - не хакеров нужно бояться, а скрипт-кидди, ибо хакер если ему нужно, то скорей всего он взломает, но таких людей единицы, а скрипт-кидди тысячи.
Базовая аутентификация (htaccess+htpasswd) на админке это не панацея, уж поверьте.
ТС спросил как лучше предостеречься, а вы начинате гнать что это не нужно... да если бы.
1) Обозленный тинейджер, стремящийся самоутвердиться в интернете и показать какой он крутой, серфит по бесконечным просторам сети Интернет. И тут на глаза попадается какая-нибудь джумла или дле. Неважно как он определит, многие даже не смотрят на структуру ссылок, пути в коде страниц, а просто определяют движок по роботс.тхт или расположению админки.
2) Далее он топает на милворм (или другой подобный сайт) и вытягивает оттуда свеженький эксплойт для какой-либо распространенной CMS;
Сайт взломан. У некоторых людей много сайтов, своевременно обновлять движки на каждом из них не всем под силу, поэтому проще запутать взломщика элементарными средствами. Отсюда вывод - не хакеров нужно бояться, а скрипт-кидди, ибо хакер если ему нужно, то скорей всего он взломает, но таких людей единицы, а скрипт-кидди тысячи.
Базовая аутентификация (htaccess+htpasswd) на админке это не панацея, уж поверьте.
ТС спросил как лучше предостеречься, а вы начинате гнать что это не нужно... да если бы.
- Статус