.htaccess può essere bypassato se c’è Zend Optimizer

Un blog riporta che in una particolare condizione, le direttive di .htaccess vengono ignorate e possono essere esposte parti di un sito ritenute protette da password.

La particolare condizione prevede:

  • Apache http server
  • Zend Optimizer
  • Direttiva <LIMIT> contenuta in .htaccess

Se Zend Optimizer è installato in Apache ed è presente un .htaccess di questo tipo a protezione di una directory:
AuthUserFile .htpasswd
AuthName "Protected Area"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>

le richieste che utilizzano i normali comandi di HTTP vengono filtrate correttamente.

Ma se viene utilizzata una richiesta non prevista dal protocollo HTTP come GETS al posto di GET, il parametro <LIMIT> viene bypassato, probabilmente perché Zend corregge GETS in GET prima di applicare il filtro di .htaccess

Se viene rimossa la direttiva <LIMIT>, la directory è protetta da password come ci si aspetta. (segnalato da Alberto N.)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento