RealAdmin.ru

Исправляем ошибку Modx: каталог ядра в открытом доступе

MODX,Безопасность
Категория: Сайтострой
21 фев 2017 г. в 20:19

Часто в панели администрирования MODX можно увидеть предупреждение с заголовком «Каталог ядра в открытом доступе». Согласно нему следует, что содержимое каталога «core» доступно для чтения. Это является уязвимостью, поэтому следует прислушаться к рекомендациям движка.

Каталог ядра в открытом доступе

А движок рекомендует следующее. В корне «core» каталога лежит конфигурационный файл Apache — ht.access. Внутри него прописаны правила, которые запрещают просмотр содержимого каталога и удалённый доступ к файлам. Чтобы активировать конфигурационный файл, следует переименовать его в .htaccess.

В большинстве случаев надпись «Каталог ядра в открытом доступе» при такой защите не пропадает. Проблема в том, что многие хостинговые площадки используют связку Apache + Nginx, где Apache отвечает за отдачу содержимого html страницы, а Nginx — статичных файлов. Modx для проверки закрытия доступа к каталогу «core» проверяет доступность файла «core/docs/changelog.txt», за отдачу которого отвечает Nginx. И так как на Nginx правила из htaccess не действуют, он благополучно отдаёт его содержимое.

То есть текстовые файлы остаются всё равно доступны, что не является критичным, а значит сообщение можно игнорировать. Либо переимновать файл «changelog.txt», тем самым обманув движок. Сообщение будет скрыто.

Посмотрите похожее — 6
Комментарии — 4
  1. avatar Александр 10 декабря 2017, 17:18(был изменён) #
    Возможно я что то не знаю но заставить работать Apache ВМЕСТЕ c Nginx, хоть и возможная но абсолютно бредовая идея,

    так как это взаимно заменяемые службы, но во первых при фильтрации потока(какой тип файла чем обрабатывать) прийдется плясать с бубном(писать его отдельно) так как не там не там перенаправления на другой сервер(а именно так по сути для Apache Nginx именно ВНЕШНИЙ сервер) нет из коробки… а доступ к парсеру и в Apache и в Nginx устроен одинаково…

    что касается угрозы то если у вас движок выдает сие предупреждение
    не по ленитесь «ручками» проверить доступность файлов… и если действительно core доступен для простого гостя из сети то не исправить значит позволить исполнять ЛЮБОЙ код из доступного для modx.(по сути это как доступ к консоли сервера(со всеми там make))
    1. avatar Simkin Andrew 11 декабря 2017, 09:34 #
      Это обычная практика для многих хостеров. Статичные файлы отдаются nginx, а всё остальное Apache. Наверно, в связке быстрее работает.
    2. avatar Webersant 13 сентября 2017, 02:22 #
      Да, все верно. Добавлю, что и картинки будут доступны, хотя им там вроде делать нечего. Помимо этого текстового файла, там еще не один десяток других наберется. По факту, убирая ошибку таким способом, делаем так, чтобы эта ошибка просто не мозолила глаза. Саму причину не решаем, но хостинг не перестроить, только менять.
      1. avatar Simkin Andrew 13 сентября 2017, 13:41 #
        По факту, убирая ошибку таким способом, делаем так, чтобы эта ошибка просто не мозолила глаза.
        Не совсем — текстовые файлы и изображения не несут опасности. А вот доступ к исполнению PHP из вне при этом полностью закрыт. Так что всё в порядке.
      © REALADMIN.RU   2017 г.
      Страница сгенерирована: 0,0983 s | 10 mb.
      На каком уровне Вы играете в шахматы?
      О П Р О С
      Home Question Top