Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 02.02.2020, 15:38   #1
Кредит в сбербанке
 
Регистрация: 29.02.2016
Сообщений: 41
Репутация: 1436

По умолчанию Защита через htaccess

Подскажите пожалуйста, часто пытаются найти уязвимости в движке набором и перебором таких команд:
https://site.ru/enter/../../../../sc...425.5255225.5/. ./.goal.php и т. д.

Можно ли запретить доступ (403) с такими запросами,
к примеру если запрос содержит лишние слеши /../

И как такое реализовать?
__________________
гид по кредитам Кредит в сбербанке, кредитный калькулятор
flash12320 вне форума   Ответить с цитированием

Реклама
Старый 02.02.2020, 15:44   #2
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 23,647
Репутация: 2098427
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: Защита через htaccess

Пусть ищут, если уязвимости нет, то в чём проблема то?

Ну завтра будут искать /?../, а после завтра /?x05x18x12
Запаритесь бегать за этим.
LEOnidUKG вне форума   Ответить с цитированием
Сказали спасибо 3 пользователей:
Старый 02.02.2020, 16:35   #3
suffix
Люблю хрюш
 
Аватар для suffix
 
Регистрация: 26.08.2010
Сообщений: 2,410
Репутация: 160780
Социальные сети Страница в Одноклассниках Профиль в ВКонтакте Профиль в LinkedIn

По умолчанию Re: Защита через htaccess

Если есть .htaccess то значит есть Apache.

Как раз для борьбы с такими запросами предназначен waf модуль для Apache - modsecurity.

Только аккуратнее с настройками !

Затем и fail2ban настроить стоит на error.log пусть все ip на которые modsecurity срабатывает сразу банит скажем на месяц!
suffix вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 02.02.2020, 17:25   #4
LEOnidUKG
『 Работаем 』
 
Аватар для LEOnidUKG
 
Регистрация: 25.11.2006
Адрес: Интернет
Сообщений: 23,647
Репутация: 2098427
Отправить сообщение для LEOnidUKG с помощью ICQ

По умолчанию Re: Защита через htaccess

suffix, а они такие идиоты всё с 1 IP делают и то левого. В основном это идёт массово через прокси. Для этого целых 2-а модуля подключать + ещё iptable забивать.... ну это такое себе удовольствие.
LEOnidUKG вне форума   Ответить с цитированием
Старый 02.02.2020, 18:03   #5
suffix
Люблю хрюш
 
Аватар для suffix
 
Регистрация: 26.08.2010
Сообщений: 2,410
Репутация: 160780
Социальные сети Страница в Одноклассниках Профиль в ВКонтакте Профиль в LinkedIn

По умолчанию

Цитата:
Сообщение от LEOnidUKG Посмотреть сообщение
suffix, а они такие идиоты всё с 1 IP делают и то левого. В основном это идёт массово через прокси. Для этого целых 2-а модуля подключать + ещё iptable забивать.... ну это такое себе удовольствие.
Ну почему два-то ? modsecurity уже будет не пускать !.

fail2ban это уже по желанию.
suffix вне форума   Ответить с цитированием
Сказали спасибо:
Старый 03.02.2020, 10:03   #6
fliger
Кандидат наук
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 492
Репутация: 18634

По умолчанию Re: Защита через htaccess

Если у вас есть шаблон используемых на сайте URI, создайте переменную allow_uri:

SetEnvIf Request_URI ^ШАБЛОН_URI$ allow_uri

Order Deny,Allow
Deny from env=!allow_uri

Альтернатива - создать переменную по шаблону запрещенных URI, если не знаете, какие URL будут использоваться на сайте.
fliger вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 12.02.2020, 13:54   #7
dws77
Профессор
 
Аватар для dws77
 
Регистрация: 31.10.2008
Сообщений: 590
Репутация: 29666
Социальные сети Профиль в ВКонтакте

По умолчанию Re: Защита через htaccess

Лучше найти специалиста, чтобы настроил. А так вообще заводят по маске, ну то есть адрес/адреса такого вида правильные, остальные в бан автоматом. Только вы так все адреса интернета побаните по итогу и сайт станет недоступен.
__________________
Пассивный доход
dws77 вне форума   Ответить с цитированием
Старый 16.02.2020, 19:53   #8
aleksandrbol
Сын турецкоподда
 
Аватар для aleksandrbol
 
Регистрация: 17.07.2009
Сообщений: 2,915
Репутация: 158789

По умолчанию Re: Защита через htaccess

Цитата:
Сообщение от fliger Посмотреть сообщение
Если у вас есть шаблон используемых на сайте URI, создайте переменную allow_uri:

SetEnvIf Request_URI ^ШАБЛОН_URI$ allow_uri

Order Deny,Allow
Deny from env=!allow_uri

Альтернатива - создать переменную по шаблону запрещенных URI, если не знаете, какие URL будут использоваться на сайте.
вот это точно отработает!
aleksandrbol вне форума   Ответить с цитированием
Старый 17.02.2020, 09:29   #9
fliger
Кандидат наук
 
Аватар для fliger
 
Регистрация: 17.09.2015
Сообщений: 492
Репутация: 18634

По умолчанию Re: Защита через htaccess

Цитата:
Сообщение от aleksandrbol Посмотреть сообщение
вот это точно отработает!
Конечно работает. Кроме того, метод POST нужно разрешить только для тех URI, где он используется.

А еще через mod_rewrite разрешить параметры запроса в URL только для тех, где они есть (т.е. ссылки вида /ССЫЛКА/?параметр-запроса):
Код:
RewriteCond %{QUERY_STRING} ^.+$
RewriteCond %{THE_REQUEST} !^(?:GET|HEAD)\ /разрешенный_URI\?разрешенный_QUERY_STRING\ HTTP/
...
...
RewriteRule ^.*$ - [F]
fliger вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны