نقل قول نوشته شده توسط omidabedi مشاهده تاپیک
با crawl کردن سایت میشه پوشه هارو پیدا کرد اما rename کردن خیلی کمک میکنه و کلا همه ی این ها بسته به این هست که کل امنیت رو تامین کنیم.مثلا فرم اپلودمون هم قوی باشه که بجای عکس فایل htaccess اپلود نکنه دسترسی پوشه هارو تغییر بده.

یه صورت دیگه هم میشه اینکه الگوریتم rename دستی باشه و از هش و .... استفاده نشده باشه.مثلا اگر شما بیاید تاریخ روز + ساعت رو بهش اضاف کنید هکر با چندبار اپلود کردن و تحلیل اسم فایل هایی که بصورت درست اپلود شده میتونه اینو متوجه بشه یا مثلا شما یه عدد رندوم از 1 تا 100 رو به تاریخ و ساعت اضاف کنید که مطمئن تر بشید خب نشد نداره اما هکر رو یکم اذیت میکنه و مجبور یا بشینه دستی 1تا50 رو اضاف کنه یا یه رباط php مینویسه که کارت ساختس دیگه

از همه ی اینا گذشته گوگل رو دست کم نگیرید.
امید جان اسکن کردن و پیدا کردن پوشه ها خب میگیم کاری نداره و امکان پذیره . ولی وقتی دسترسی به نوشتن را نداره چطوری میخواهد از طریق اون ابزارک پسوند رو عوض کنه ؟
اصلا ببینم شما الان میتونی تو فایل های همین انجمن یا وبسایت های دیگه حتی سایت خودم ( asila.ir ) اپلود هم داره . فایلی رو بدون اجازه دسترسی تغییر نام بدی‌؟ اگه اینجوری باشه که دیگه امنیت معنی نداره . هر کسی توسط اون ابزارک میتونه بره داخل هر سایتی فایل هاشو تغییر نام بده .

من سوالم اینه که چطوری بدون اجازه دسترسی وارد روت سایت میشه اون ابزارک ؟

* برای راحل هم میتونیم این روش رو استفاده کنیم ؟
روش : برای این کار شل رو به عکس تزریق کردن یعنی الان عکس اینجوری باید باشه (shell.php.jpg) میشه قبل اینکه اپلود کنه تشخیص بدیم دو پسونده است ؟ یا اصلا جوری تعریف کنیم که فقط یک نقطه (.) اخر پسوند داشته باشه و خلاص ( دقیقا مثل ولیدیت کردن ایمیل و ادرس سایت )