¿Qué tan peligroso es tener archivos confidenciales en webroot?

2

Entiendo que tener algo sensible en webroot no es inteligente; alguien puede ser capaz de acceder a ella a través de url. Sin embargo, no tengo una opción con mi servidor web (iPage), ya que limitan el espacio de mi servidor a la raíz web.

Entonces, mi pregunta es: ¿qué tan arriesgado es simplemente tener archivos confidenciales en un directorio en un webroot con un simple acceso público prohibido? Mi instinto dice que no, y cualquier información sobre este tema sería muy apreciada.

Editar: Los 'archivos confidenciales' son un instalador para el software de inicio y los archivos php que permiten el acceso de los archivos de descarga / control.

    
pregunta ink 12.09.2014 - 17:37
fuente

2 respuestas

2

Esto es difícil de responder sin saber qué tan sensibles son sus archivos. Piénselo así: ¿cuánto vale esta información para usted? Si sus datos valen más de lo que costaría cambiar a un servicio de alojamiento adecuado, debe hacerlo. Teniendo en cuenta lo que está diciendo, probablemente lo sea, y probablemente debería hacerlo.

No sé qué tipo de datos es este, por lo que es difícil especular sobre las formas de protegerlo. Si se trata de una lista de clientes confidenciales, tal vez debería vivir en una base de datos bien protegida. Si se trata de información personal confidencial, tal vez debería estar encriptada. Simplemente no sé sin saber más.

Hay varias maneras de mantener a las personas fuera de los lugares designados en cualquier lugar del servidor. Mi primer instinto es escribir reglas para que tu servidor las siga. Me imagino que lo que está tratando de hacer es proteger los archivos a través de .htpasswd en Apache. Si ese es el caso, solo asegúrate de tener las reglas de bloqueo adecuadas, para que la gente no pueda atacar el sitio en un período de tiempo razonable. También hay otros métodos, pero igual tendría que saber primero qué intentabas proteger.

Por supuesto, si está en un host donde no tiene acceso de root al servidor, lo más probable es que no pueda editar los archivos de configuración del servidor. Una vez más, la respuesta tiende a: comprar más hosting profesional.

    
respondido por el baordog 12.09.2014 - 18:16
fuente
3

Un atacante va a utilizar navegación forzada para intentar encontrar archivos confidenciales. DirBuster es muy útil para realizar ataques de navegación forzada, y generalmente encuentra archivos confidenciales en mis compromisos de pruebas de penetración. DirBuster viene con una gran lista de nombres comunes de archivos y directorios. Si no es un nombre de archivo común, es probable que DirBuster no lo encuentre.

Tener archivos confidenciales accesibles desde cualquier lugar de su servidor web es peligroso , es necesario que exista algún tipo de control de acceso.

    
respondido por el rook 12.09.2014 - 18:15
fuente

Lea otras preguntas en las etiquetas