Viendo la configuración.php

Navega tus respuestas
0

Comprendo que nunca debes alojar tu archivo configuration.php dentro del directorio public_html (me refiero específicamente a Joomla, pero imagino que este es un escenario multiplataforma).

Mi pregunta es: ¿es posible para un usuario acceder / ver este archivo de configuración a través de Internet, o si primero tendrían que explotar el servidor y luego usar esa vulnerabilidad para acceder al archivo de configuración? En otras palabras, ¿es la mejor práctica mantener la configuración.php fuera de la raíz web simplemente para evitar que un pequeño exploit aumente, o la existencia del archivo proporciona una vulnerabilidad en sí misma?

    
pregunta Moses 01.10.2012 - 22:49
fuente

3 respuestas

6

Un archivo de configuración no se puede ver públicamente a través de Internet siempre que los permisos estén configurados correctamente. De todos modos, los archivos de configuración generalmente no generan ningún dato directamente.

Pueden descargar una copia del archivo de configuración si explotan su servidor y obtienen acceso a través de métodos como SSH, FTP o un panel de control basado en web.

Mantener el archivo configuration.php fuera del directorio raíz web aumenta el nivel de seguridad, sin embargo, si un atacante comprometiera su servidor y obtuviera acceso completo, aún podrán acceder a este archivo.

    
respondido por el Hammo 02.10.2012 - 01:30
fuente
2

Con una configuración de servidor web normal (al menos en la mayoría de las empresas de alojamiento web), los visitantes no pueden acceder directamente a los archivos PHP a través de Internet. Todo lo que consiguen son los que se interpretan en HTML. Esto también significa también para configuration.php (o config.php) para cualquier aplicación web.

    
respondido por el d3t0n4t0r 03.10.2012 - 10:38
fuente
2

Para una mayor seguridad de la configuración de los archivos PHP, también puede bloquear el archivo para evitar cambiarlos o manipularlos. Esto agregará una mayor seguridad.

En una función de servidor linux están chattr y en un servidor VPS debe bloquear un archivo de configuraciones: 

chattr +i /home/user/configuration.ini
    
respondido por el Marin Sagovac 14.10.2012 - 01:32
fuente

Lea otras preguntas en las etiquetas

Varios puertos abiertos en un servidor, ¿es seguro? [cerrado] Keyloggers - Puertos utilizados por los keyloggers