- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Подскажите пожалуйста, часто пытаются найти уязвимости в движке набором и перебором таких команд:
https://site.ru/enter/../../../../script.14.13425.5255225.5/. ./.goal.php и т. д.
Можно ли запретить доступ (403) с такими запросами,
к примеру если запрос содержит лишние слеши /../
И как такое реализовать?
Пусть ищут, если уязвимости нет, то в чём проблема то?
Ну завтра будут искать /?../, а после завтра /?x05x18x12
Запаритесь бегать за этим.
Если есть .htaccess то значит есть Apache.
Как раз для борьбы с такими запросами предназначен waf модуль для Apache - modsecurity.
Только аккуратнее с настройками !
Затем и fail2ban настроить стоит на error.log пусть все ip на которые modsecurity срабатывает сразу банит скажем на месяц!
suffix, а они такие идиоты всё с 1 IP делают и то левого. В основном это идёт массово через прокси. Для этого целых 2-а модуля подключать + ещё iptable забивать.... ну это такое себе удовольствие.
suffix, а они такие идиоты всё с 1 IP делают и то левого. В основном это идёт массово через прокси. Для этого целых 2-а модуля подключать + ещё iptable забивать.... ну это такое себе удовольствие.
Ну почему два-то ? modsecurity уже будет не пускать !.
fail2ban это уже по желанию.
Если у вас есть шаблон используемых на сайте URI, создайте переменную allow_uri:
SetEnvIf Request_URI ^ШАБЛОН_URI$ allow_uri
Order Deny,Allow
Deny from env=!allow_uri
Альтернатива - создать переменную по шаблону запрещенных URI, если не знаете, какие URL будут использоваться на сайте.
Лучше найти специалиста, чтобы настроил. А так вообще заводят по маске, ну то есть адрес/адреса такого вида правильные, остальные в бан автоматом. Только вы так все адреса интернета побаните по итогу и сайт станет недоступен.
Если у вас есть шаблон используемых на сайте URI, создайте переменную allow_uri:
SetEnvIf Request_URI ^ШАБЛОН_URI$ allow_uri
Order Deny,Allow
Deny from env=!allow_uri
Альтернатива - создать переменную по шаблону запрещенных URI, если не знаете, какие URL будут использоваться на сайте.
вот это точно отработает!
вот это точно отработает!
Конечно работает. Кроме того, метод POST нужно разрешить только для тех URI, где он используется.
А еще через mod_rewrite разрешить параметры запроса в URL только для тех, где они есть (т.е. ссылки вида /ССЫЛКА/?параметр-запроса):