Knowledge Base

Открытые backup-файлы и дампы БД

Типичные опасные файлы

Категория: Web App Security · Риск: critical

Типичные опасные файлы

| Путь | Риск | |------|------| | `/backup.zip`, `/backup.tar.gz` | Весь исходный код и данные | | `/db.sql`, `/dump.sql` | База данных с паролями | | `/.git/HEAD` | Исходный код через git clone | | `/www.zip` | Полный архив сайта | | `/.env.backup` | Конфиг с API-ключами | | `/phpinfo.php` | Полная конфигурация PHP и сервера |

Блокировка в Nginx

# Заблокировать опасные расширения и пути
location ~* \.(sql|bak|backup|zip|tar|gz|7z|log|env|old)$ {
    deny all;
    return 404;
}

location ~ /\.(git|svn|hg|env) {
    deny all;
    return 404;
}

location ~ /(backup|dump|phpinfo|adminer) {
    deny all;
    return 404;
}

Хранение бэкапов

Бэкапы должны быть:

• вне публичной директории (`/var/www/html`)
• с ограниченными правами (chmod 640)
• в зашифрованном виде при хранении вне сервера
• в отдельном хранилище (S3, Backblaze, rsync на другой сервер)