Un blog riporta che in una particolare condizione, le direttive di .htaccess vengono ignorate e possono essere esposte parti di un sito ritenute protette da password.
La particolare condizione prevede:
- Apache http server
- Zend Optimizer
- Direttiva <LIMIT> contenuta in .htaccess
Se Zend Optimizer è installato in Apache ed è presente un .htaccess di questo tipo a protezione di una directory:
AuthUserFile .htpasswd
AuthName "Protected Area"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
le richieste che utilizzano i normali comandi di HTTP vengono filtrate correttamente.
Ma se viene utilizzata una richiesta non prevista dal protocollo HTTP come GETS al posto di GET, il parametro <LIMIT> viene bypassato, probabilmente perché Zend corregge GETS in GET prima di applicare il filtro di .htaccess
Se viene rimossa la direttiva <LIMIT>, la directory è protetta da password come ci si aspetta. (segnalato da Alberto N.)
Lascia un commento