Всем привет! это будет очень короткая статья. Дело в том, что тут речь пойдет об критической уязвимости SFTP-плагина Sublime Text 3, о которой все должны знать, но знают не все!
Поэтому в название и текст статьи я «напихал» много ключевиков для того, чтобы привлечь как можно больше людей и рассказать об этой проблеме — не судите строго! Поэтому еще ключи для Google: мой отзыв Sublime Text 3 — обзор: настройка, sftp-плагин и безопасность уязвимостей.
Уязвимость SFTP-плагина
У настройка плагина SFT для Sublime Text 3 вполне обычная для Саблайма — вы редактируете JSON файл и вводите туда хост, логин, пароль и порт от … вашего хостинга…
Этот файл сохраняется в … корне папки проекта… эээ… Нет, Sublime не даст вам его закачать в корень папки на хост. Там стоит «защита» от такой закачки — то есть такую процедуру в этом же файле нужно принудительно разрешить.
«Ну фух», скажите вы. Так в чем уязвимость тогда?
А в том, что вы этот файл сможете закачать, например, FileZill’ой или Total Commanderom и т д!
Понимаете уровень опасности? В корне вашего сайта может оказаться JSON-файл с доступом к вашему серверу!
Решение проблемы Sublime Text 3
Ну и конечно же это крутой обзор и настройка Sublime Text 3, а еще отзыв.
Вы закачаете этот файл на сервер в любом случае. То есть лучше вам себя в этом убедить и решить вопрос заранее чем потом разгребать все то, что может произойти изза взлома.
Варианты решения
- Перестать использовать SFTP-плагин. Нет, нереально, да?
- Никогда не закачивать файл настройки на сервер. Нет, нереально. Раз в год и швабра стреляет и случайно каким то фтп-менеджером кто-то когда-то его «забросит» туда.
- Не указывать пароль в файле настройки и при каждом соединении вводить его в prompt. Возможно.
- Ограничить доступ по имени файла с помощью .htaccess — обязательно.
Инструкция для .htaccess
<files sftp-config.json>
order allow,deny
deny from all
</files>
После добавления этой записи в .htaccess, файл sftp-config.json не будет доступен извне даже если вы его «зальете» на сервер специально.
Свежие комментарии