nächstes »

[vinc]

Hallo zusammen

Ich versuche gerade das Verzeichnis /config/admin.cgi zu schützen. Bis jetzt ohne Erfolg auch nicht per .htaccess:
<Files ~ "^(config)$">
  Order deny,allow
  Deny from all
</Files>

 

Gruss vinc

[ProfiHost - Technik]

Hallo Marianne,

dies kann nicht funktionieren, da der "config" Bereich direkt vom Server verwaltet wird. Man kann diesen nicht mit einer .htaccess sperren. Es besteht auch kein Bedarf diesen Bereich zu sperrenn, da dieser passwortgeschützt ist.

Ich wünsche eine frohes Weihnachtsfest

[vinc]

Vielen Dank für die rasche Antwort

Da dieser Bereich passwortgeschützt ist, kommt man nur durch probieren eventuell auf den Server. Laut McAfee Secure ist es aber eine Sicherheitslücke der Stufe 4 von 6.
"Local File Include Vulnerability"

Für McAfee ist die Seite jetzt unsicher, da auf die "admin.cgi" von der Domain aus zugegriffen werden kann. domain/config/

Lg

[ProfiHost - Technik]

Der McAffee Scanner nimmt dies anscheinend recht genau, bis jetzt ist uns allerdings kein Fall bekannt wo das Passwort auf diesem wegen herausgefunden wurde. Im Regelfall hat man an dieser Stelle ein von uns generiertes Passwort mit 6-8 Zeichen. Falls der McAffee Scanner Sie aufgrund dieser Problematik nicht mehr auf den "config" Bereich zugreifen lässt, müssen Sie eine entsprechende Ausnahmeregel in dem Antivirenprogramm definieren.