BlackCat CMS Forum

War die Alpha2 jetzt eigentlich so gut, daß nix mehr kommt? Kann eigentlich nicht sein.

Mmmh, tja, ich weiß nicht wie ich es sagen soll

Ja, sieht echt so aus!!! Tolle Arbeit

Edit: Vielleicht kann ja Creativcat mal einen Blick auf das Thema von unten mit den Templates werfen!

Hat denn schon jemand die globalen Headerdateien und die Short-URL-Geschichte getestet? Zumindest letztere dürfte IMHO nicht wirklich funktionieren.

Ich hab das Mojito gerade repariert, indem ich das aus 1.0.4 genommen habe.

shadowcat hat geschrieben:Zumindest letztere dürfte IMHO nicht wirklich funktionieren.

Tut auch nicht.

Mal ein paar Fragen dazu:

* Benutzt Ihr schon eine .htaccess im BC-Verzeichnis? Wenn ja, würde die derzeit überschrieben. (Sofern die Zugriffsrechte es zulassen.)
* Ich habe mal ein paar Infos zu Möglichkeiten eingesammelt, eine Webpräsenz mittels .htaccess abzusichern. Das mag Seiteneffekte haben, die ich nicht einschätzen kann. Wollt Ihr das mal testen? Soll das dann per Default da rein, oder nur als Eintrag im Wiki?

[Antwort on]
- Nein benutze ich noch nicht, will ich aber.
- Ich will immer testen
- Sicherheit geht vor, deswegen denke ich als default und ins Wiki als Erklärung
[Antwort off]

Aber diese Woche schaffe ich das nicht mehr

Code: Alles auswählen

# deny access to some specific files
<Files ~ "^.*\.(LOG|log|bak|bk|LCK|txt|TXT)$">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>
# Disable the Server Signature
ServerSignature Off
# Rewrite Engine
RewriteEngine On
########## Begin - File injection protection, by SigSiu.net
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* - [F]
########## End - File injection protection
########## Begin - Query string attacks
RewriteCond %{QUERY_STRING} (javascript:).*(\;) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (\\|\.\./|`|=\'$|=%27$) [NC,OR]
#proc/self/environ? no way!
RewriteCond %{QUERY_STRING} proc\/self\/environ [NC,OR]
# SQL injection attacks
RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark|or|if).* [NC,OR]
# reference to localhost/loopback/127.0.0.1 in the Query String
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
# use of illegal or unsafe characters in the Query String variable
RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC]
RewriteCond %{QUERY_STRING} (base64_encode|mosconfig) [NC,OR]
RewriteCond %{QUERY_STRING} (boot\.ini|echo.*kae|etc/passwd) [NC,OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC]
RewriteRule .* - [F]
########## End - Query string attacks

# Prevent use of specified methods in HTTP Request
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
# Block out use of illegal or unsafe characters in the HTTP Request
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]
# Block out use of illegal or unsafe characters in the Referer Variable of the HTTP Request
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
# Block out use of illegal or unsafe characters in any cookie associated with the HTTP Request
RewriteCond %{HTTP_COOKIE} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
# Block out use of illegal characters in URI or use of malformed URI
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]
# Block out  use of empty User Agent Strings
# NOTE - disable this rule if your site is integrated with Payment Gateways such as PayPal!
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
# Block out  use of illegal or unsafe characters in the User Agent variable
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteRule ^/page/(.*).php$ /$1/ [R=301,L]

Dahinter käme dann der Teil mit den Short URLs.

Man könnte es ja per Default komplett dichtmachen und in die Wiki aufnehmen und im Adminbereich (später mal) die ein oder andere Option abschalten können.

Naja, ich bin auch kein .htaccess Spezialist und kann nicht wirklich einschätzen, wie sicher das dann wäre. Es ist ja auch nicht der richtige Weg, so zu tun, als würde man es per Default "sicher machen", wenn man gar nicht weiß, ob das zutrifft.

Daher würde ich das eher erst mal zum Test ins Wiki oder hier ins Forum stellen und schauen, was an Rückmeldungen kommt. Ich muß auch mal über den Tellerrand schielen, das andere CMS an der Stelle so treiben.

Wenn überhaupt.

Hat denn schon jemand die globalen Headerdateien und die Short-URL-Geschichte getestet? Zumindest letztere dürfte IMHO nicht wirklich funktionieren.

Ja, hast Recht! Funktioniert nicht. Nach dem Auswählen z.B. Slimbox

kommt:

: SETTINGS.jpg (37.35 KiB) 8690 mal betrachtet

Hey, na immerhin hab ich den Fehler abgefangen und liefere eine brauchbare Info.

Ich liefere Dir gleich mal den Eintrag.

BlackCat CMS Forum

Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)

Re: Installation v1.1 (alpha)