Disable LFI RFI через .htaccess

syncmaster · 11 Jan 2012

Можно как-то отфильтровать запросы типа ../../ и т.п. через .htaccess?

syncmaster · 11 Jan 2012

Вот нашел на форуме.

ServerSignature Off
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]

RewriteCond %{HTTP_REFERER} ^(.*)(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|”>|”<|/|\\\.\.\\).{0,9999}.* [NC,OR]

RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]

#Block mySQL injects
RewriteCond %{QUERY_STRING} ^.*(;|<|>|’|”|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]

RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|%00).* [NC]
Click to expand...

Насколько это эффективно и не похерит ли такой хтачес форум, блог или еще чего-нибудь что будет идти в директориях после такого хтачеса?

h00lyshit! · 11 Jan 2012

Можно, только зачем это нужно? Не в фильтрации сила, а в правильной обработке переменных, всего не учтешь, так что советую забросить эту идею. Обсуждалось уже тысячу раз.

z0mbyak · 11 Jan 2012

#Block mySQL injects
RewriteCond %{QUERY_STRING} ^.*(;|<|>|’|”|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|updat e|md5|benchmark).* [NC,OR]
Click to expand...

А конструкция типо UnioN%20SeleCT разве не пройдет?

syncmaster · 11 Jan 2012

h00lyshit! said:

Можно, только зачем это нужно? Не в фильтрации сила, а в правильной обработке переменных, всего не учтешь, так что советую забросить эту идею. Обсуждалось уже тысячу раз.
Click to expand...

Иногда получается так, что нет прав поправить скрипт через который был получен доступ, а создать htaccess в этой папке или на одну-две директории выше есть.

syncmaster · 12 Feb 2012

А если в начало уязвимого файла добавить вот такой код:
if (isset($_GET['parameter']) && stripos($_GET['parameter''],'../../')!==false) {exit('STOP!');}
это его как-то защитит, или легко обойти? )

ZARO · 12 Feb 2012

syncmaster said:

А если в начало уязвимого файла добавить вот такой код:
if (isset($_GET['parameter']) && stripos($_GET['parameter''],'../../')!==false) {exit('STOP!');}
это его как-то защитит, или легко обойти? )
Click to expand...

Да запросто, .././.././.././.././.././etc/passwd обойдет твой фильтр и проинклудит passwd.

syncmaster · 12 Feb 2012

ZARO, да, так инклудит. А какие еще варианты есть? этот что показал, закрыл так же как в примере

Disable LFI RFI через .htaccess

syncmaster New Member

syncmaster New Member

h00lyshit! [From Nobody To Root]

z0mbyak Active Member

syncmaster New Member

syncmaster New Member

ZARO Elder - Старейшина

syncmaster New Member

Useful Searches

Disable LFI RFI через .htaccess

syncmaster New Member

syncmaster New Member

h00lyshit! [From Nobody To Root]

z0mbyak Active Member

syncmaster New Member

syncmaster New Member

ZARO Elder - Старейшина

syncmaster New Member