Disable LFI RFI через .htaccess

Discussion in 'Безопасность и Анонимность' started by syncmaster, 11 Jan 2012.

  1. syncmaster

    syncmaster New Member

    Joined:
    28 Oct 2009
    Messages:
    12
    Likes Received:
    2
    Reputations:
    1
    Можно как-то отфильтровать запросы типа ../../ и т.п. через .htaccess?
     
  2. syncmaster

    syncmaster New Member

    Joined:
    28 Oct 2009
    Messages:
    12
    Likes Received:
    2
    Reputations:
    1
    Вот нашел на форуме.
    Насколько это эффективно и не похерит ли такой хтачес форум, блог или еще чего-нибудь что будет идти в директориях после такого хтачеса?
     
    1 person likes this.
  3. h00lyshit!

    h00lyshit! [From Nobody To Root]

    Joined:
    10 Sep 2009
    Messages:
    289
    Likes Received:
    290
    Reputations:
    195
    Можно, только зачем это нужно? Не в фильтрации сила, а в правильной обработке переменных, всего не учтешь, так что советую забросить эту идею. Обсуждалось уже тысячу раз.
     
  4. z0mbyak

    z0mbyak Active Member

    Joined:
    10 Apr 2010
    Messages:
    537
    Likes Received:
    200
    Reputations:
    293
    А конструкция типо UnioN%20SeleCT разве не пройдет?
     
  5. syncmaster

    syncmaster New Member

    Joined:
    28 Oct 2009
    Messages:
    12
    Likes Received:
    2
    Reputations:
    1
    Иногда получается так, что нет прав поправить скрипт через который был получен доступ, а создать htaccess в этой папке или на одну-две директории выше есть.
     
    1 person likes this.
  6. syncmaster

    syncmaster New Member

    Joined:
    28 Oct 2009
    Messages:
    12
    Likes Received:
    2
    Reputations:
    1
    А если в начало уязвимого файла добавить вот такой код:
    if (isset($_GET['parameter']) && stripos($_GET['parameter''],'../../')!==false) {exit('STOP!');}
    это его как-то защитит, или легко обойти? )
     
  7. ZARO

    ZARO Elder - Старейшина

    Joined:
    17 Apr 2009
    Messages:
    327
    Likes Received:
    129
    Reputations:
    54
    Да запросто, .././.././.././.././.././etc/passwd обойдет твой фильтр и проинклудит passwd.
     
    1 person likes this.
  8. syncmaster

    syncmaster New Member

    Joined:
    28 Oct 2009
    Messages:
    12
    Likes Received:
    2
    Reputations:
    1
    ZARO, да, так инклудит. А какие еще варианты есть? этот что показал, закрыл так же как в примере