Интересует такой вопрос Как защитить сайт от сканеров на уязвимость ? Например от известного сканера Acunetix Web Vulnerability Scanner
От сканеров - никак, от уязвимостей - установить свежую версию движка, возможно, заказать аудит безопасности, если сайт очень важный.
Можно элементарно забанить айпишники на уровне сервера за частые обращения к скриптам.Опыт показывает, что сраная школота и всякие недалекие для этого дела проксик в акунетикс не забивают, так что палятся многие весчи.
Банить не есть гуд. За частые обращения, за наличие специфичных слов и символов в запросе, за частые 403 и 404(тут как бы поисковики не обмануть), надо выводить статичную страницу(или рандомно что-то генерить, полёт для фантазии) с кодом 200.
забанить определенный опасный запросы,забанить по юзерагенту больше вариантов быть не может. Закрыто.
цель в том что при сканирование сканер грубо говоря флудит через форму и в базе появляется много мусора я уже закрыл спец символу через preg_match вот и захотелось узнать как можно закрыть доступ , есть еще идея по крипту внутренный ссылок , думаю данный метод закроет доступ сканеру
Acunetix добавляет к каждому запросу примерно такие заголовки: Acunetix-Product: WVS/8.0 (Acunetix Web Vulnerability Scanner - NORMAL) Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED Acunetix-User-agreement: http://www.acunetix.com/wvs/disc.htm Можно сделать проверку на наличие таких заголовков, но это не поможет от других сканеров
в .htaccess можно прописать проверка бота если боты не соответствуют нужным юзерагентам то закрывать доступ если боты замаскированы под обычные браузеры или браузеры поисковиков то сложнее будет
в корень сайта кинуть .htaccess с таким содержимым: SetEnvIfNoCase Acunetix* [^/] wvs <Limit GET POST HEAD> Order Allow,Deny Allow from all Deny from env=wvs </Limit>
