Webboard

Witam, pisze ten temat, ponieważ na kilku juz forach dostrzeglem, że administratorzy nie zablokowali dostepu do pliku error.log. Okej dobra teraz pytanie a po co blokować dostep do pliku gdzie sa tylko bledy? Otoz na tych wlasnie forach w tym pliku error.log można było znaleźć wrażliwe dane takie jak dane dostepowe do bazy danych oraz dane uzytkownikow email, haslo, cookie (Dla ciekawskich to poinformowałem administatorow tych for o tym fakcie). Zablokować ten plik można dodając prostą linijke do pliku .htaccess.

Kod:
RewriteEngine On

RewriteRule (^|/)error.log$ - [L,F]

lub

Kod:
<Files "error.log">

    Order Deny,Allow

    Deny from all

</Files>

W przypadku korzystania z Nginxa, zablokować dostęp do logów (wszystkich w każdym miejscu) można przez dodanie poniższej formuły do naszej konfiguracji w sekcji server

Kod:
server {

    # Inne ustawienia serwera...

    location ~ ^/.*error.*\.log$ { deny all; return 404; } 

    # Inne ustawienia serwera...

}

Qwizi

blackmagic