Sécurité

Dimanche 7 février 2021, par BERTRAND Joël // Documentation

Le répertoire squelettes à la racine de SPIP n’a aucunement besoin d’être accessible depuis le serveur web. Seuls les documents contenus dans le sous-répertoire img doivent l’être.

Cette remarque n’est de loin pas anodine puisque très souvent, lorsqu’il y a des traitements complexes à faire, ceux-ci sont en partie menés dans les squelettes. Il est alors possible de connaître les intitulés des formulaires, le cas échéant les variables de session cachées, les plugins utilisés et de conduire des attaques ciblées.

Ce site internet fonctionne sur un serveur Apache 2 dont la configuration est la suivante :

<VirtualHost *:443>
        ServerName multiflex.systella.fr
        DocumentRoot /var/www/multiflex

        <Directory /var/www/multiflex>
                Options -Indexes +FollowSymLinks +MultiViews
                AllowOverride All
                Require all granted
                Order allow,deny
                Allow from all
        </Directory>

        <Directory /var/www/multiflex/squelettes>
            AllowOverride All
            Require all denied
        </Directory>

        <Directory /var/www/multiflex/squelettes/img>
            AllowOverride All
            Require all granted
        </Directory>
        ...
</VirtualHost>

Multiflex Un squelette apolitique pour SPIP

Libre et non militant

Navigation

Dans la même rubrique

Sécurité