Webbservern kommer att ha vissa standardfilnamn (i prioritetsordning) som index.php, index.html etc om du skriver in URL till en webbmapp ist\u00e4llet f\u00f6r en specifik fil. Men om det inte finns n\u00e5gra s\u00e5dana standardfiler, kommer den eventuellt att lista filnamnen (med l\u00e4nkar) i den aktuella katalogen i webbl\u00e4saren eller, en b\u00e4ttre och s\u00e4krare inst\u00e4llning skulle vara att inaktivera detta och visa 403 beh\u00f6righeter f\u00f6rbjudet fel.<\/p>\n
Med wordpress-mappar, speciellt plugin-mapparna d\u00e4r webbadresserna inte \u00e4r t\u00e4nkta att bes\u00f6kas direkt i webbl\u00e4saren, s\u00e5 hittar du massor av index.php som inneh\u00e5ller n\u00e5got s\u00e5nt h\u00e4r:<\/p>\n
<?php \/\/You don't belong here. ?><\/code><\/pre>\nEller i annat liknande format:<\/p>\n
<?php\n\/\/ Silence is golden.\n?><\/code><\/pre>\nNaturligtvis finns det m\u00e5nga andra m\u00f6jliga inneh\u00e5ll som alla tyst inaktiverar mappsurfandet. Om filerna \u00e4r listade kommer eventuellt vissa filer som inneh\u00e5ller k\u00e4nslig information att exponeras.<\/p>\n
Ett b\u00e4ttre s\u00e4tt, enligt min mening, \u00e4r att ha en index.php<\/strong> som har f\u00f6ljande:<\/p>\n<?php\n\u00a0 header($_SERVER['SERVER_PROTOCOL']. ' 404 Not Found');\n\u00a0 exit(\"<!DOCTYPE HTML PUBLIC \"-\/\/IETF\/\/DTD HTML 2.0\/\/EN\">rn<html><head>>rn<title>404 Not Found<\/title>rn<\/head><body>rn\n<h1>Not Found<\/h1>rn<p>The requested URL \". $_SERVER['SCRIPT_NAME']. \" was not found on this server.<\/p>rn&lgt;\/body><\/html>\");\n?><\/code><\/pre>\nP\u00e5 s\u00e5 s\u00e4tt kommer det att visa ett 404-fel som inte hittats, vilket ser ut som ett riktigt fel, vilket vilseleder potentiella hackare.<\/p>\n
I vissa inkluderade filer, som inte \u00e4r t\u00e4nkta att n\u00e5s direkt, kan du hitta n\u00e5gra kontroller i b\u00f6rjan:<\/p>\n
if (!defined('IN_PHPBB'))\n\u00a0 \u00a0 exit;\n\u00a0\n\/\/ don't load directly\nif (!defined('ABSPATH')) \u00a0 \u00a0 die('-1');<\/code><\/pre>\nP\u00e5 s\u00e5 s\u00e4tt undviker man eventuellt l\u00e4ckage av k\u00e4nslig information om det finns skriptfel som visas i webbl\u00e4saren. F\u00f6r mappar som inte ska exponeras helt kan du l\u00e4gga till f\u00f6ljande rader i filen .htaccess<\/strong><\/p>\norder allow,deny \ndeny from all <\/code><\/pre>\nP\u00e5 s\u00e5 s\u00e4tt kommer inga filer att n\u00e5s i offentlig URL. Till exempel \u00e4r logg- och s\u00e4kerhetskopieringsmapparna f\u00f6r Plugin itheme-s\u00e4kerhet<\/a> inst\u00e4llda p\u00e5 detta.<\/p>\n