Per gli attacchi comuni, come attacchi di inclusione di file comuni, cross-site_scripting e SQL_injection è bene richiedere Subroutine aggiuntive.
Nota del Relatore.
Le Subroutine devono essere sempre molto apprezzate dal Gruppo di Lavoro perchè vengono date delle soluzioni potenti e sintetizzate a chi è ancora alle prime armi nella sicurezza informatica e non è ancora capace di lavorare sul server, da linea di comando.
Per questa ragione si prega di non sottovalutare le spiegazioni poste in evidenza, anche se, per i sistemisti sembrano già scontate.
Quindi, introduciamo la protezione e il condizionamento, tramite file .htaccess e mod-rewrite, di un attacco di inclusione di file locali, cross-site scripting o SQL Injection.
Tutte queste azioni di malware sono portate a segno mediante comandi ostili posti in atto attraverso una richiesta HTTP e quindi utilizzando attività pubbliche nei motori di ricerca.
Le subroutine consigliate, sono potenti e in grado di discriminare l’attacco, evitandolo o ammaestrandolo – prima, dopo e durante – la sua verifica.
QUESTA E’ LA VERA SICUREZZA INFORMATICA!
Sottomettere l’avversario prima che diventi tale.
Replica del Gruppo di Lavoro.
…Nonostante ciò, vogliamo portare all’attenzione di tutti il fatto che il sistema binario è il mezzo più potente dopo il controllo elettronico dei circuiti e dell’elettricità (Layer 1) che ci permette di definire con precisione la tipologia dell’inviolabilità del sistema informatico.
E’ chiaro, quindi che pur restando un potente deterrente, il file .htaccess non pretende di risolvere tutti i problemi della sicurezza, ma resta sicuramente uno dei files più versatili, a nostra disposizione, per discriminare fastidiosi attacchi di hacker e cracker senza dover “toccare” il server, ma intervenendo semplicemente da PHP.
LA SOLUZIONE
Su server Apache il file .htaccess, se configurato bene e con mod_rewrite è una difesa estremamente utile. L’importante è fare un backup della configurazione del sito web prima di iniziare le operazioni.
Un errore di sintassi e… 6 out! Con un bel “Internal Server Error 500”!
Verifica le funzionalità, in caso… Rimuovi o commenta.
Se usi il Note Pad per l’editing, non va molto bene, passa al word_wrap se quando salvi non funzionerà.
Cos’è il file .htaccess
E’ un file di testo per configurazione distribuita ed è un elenco di direttive applicate a singola directory base.
Queste, vengono lette ed applicate immediatamente ad ogni chiamata HTTP su server web.
Se il vostro sito è ospitato su un server Apache, il servizio di hosting dovrebbe consentirne l’uso.
Se il vostro host non ne consente l’uso, vi consiglio di passare a uno che lo fa.
Tipo?… Neanche a dirlo al nostro!
Cosa può fare il file .htaccess
Autorizzare con (username / password) per controllo directory
Discriminare gli utenti secondo IP o dominio
Messaggi personalizzati su pagine di errore
Discriminare le directory tramite URL Rewriting
Ottimizzazione SEO tramite reindirizzamento del contenuto, protezione contro hot linking o altro malware, etc….
Insomma… L’uvo di Colombo!
E ‘abilitato il file .htaccess?
Se non si dispone di shell (o altro) per l’accesso al file di configurazione di Apache (httpd.conf) e se l’host supporta php, basta incollare il testo qui scritto, in un editor di testo e salvare il file come info.php e poi aggiungerlo nel percorso html pubblico.
<?php phpinfo(); ?>
Accedere da browser al file info.php. Scorrere fino alla sezione Apache e verificare moduli caricati.
Una volta che hai ottenuto le informazioni necessarie, eliminare info.php dal server per sicurezza.
Un altro modo per verificare se mod_rewrite è abilitato consiste nella creazione di un unico redirect per testarlo.
Aggiungi nella parte superiore del file .htaccess e ri-carica il server.
RewriteEngine on RewriteRule testpage.html http://www.google.com [R]
Una volta aggiornato, scrivi nel browser:
http://www.ilnomedeltuositoweb.it/testpage.html
Questo dovrebbe reindirizzare automaticamente a Google.
Se funziona, mod_rewrite sul server c’è e sei a posto, se no… La svolti così.
Come abilitare il file .htaccess?
Vai a file httpd.conf e con un editor di testo (senza word-wrap abilitato), Cerca la riga…
AllowOverride None
E cambia in …
AllowOverride All
Riavvia Apache. Ora il file .htaccess dovrebbe funzionare.
Se non hai accesso ai file di configurazione, chiedi al Provider se l’ .htaccess funziona e come riavviare il sito se appare il 500 (Internal Server Error).
Se fanno ostruzione poi ti spieghiamo cosa fare.
Mentre se non hai l’accesso FTP, cPanel o Plesk per il tuo sito, NON caricare o creare il file .htaccess prima di esserti accertato delle modalità di supporto e su come poter fare a riconfigurare il sito, lato browser, una volta che si verifica l’error 500.
Ancora problemi?
Se ancora non hai accesso ai file .htaccess di configurazione del server allora probabilmente sei su un hosting condiviso poco affidabile.
Affrettati a cambiarlo.