基于伪造推荐人的重定向

时间:2012-11-15 02:39:58

标签: .htaccess

我认为某些恶意机器人或用户在请求中伪造了引用者,从而绕过了我对陈述的拒绝。

我的htaccess在其他片段中有以下内容

    ErrorDocument 403 "Nothing Interesting Here"
    order allow,deny
    deny from .eviluser.org
    allow from all

我也有我的htaccess:

    RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?eviluser.*$ [NC]
    RewriteRule .* - [F,L]

但我的日志显示:

    wnode1.eviluser.org - - [14/Nov/2012:18:21:44 -0500] "GET /some-document.html HTTP/1.0" 200 68584 "http://myoriginaldomain/some-document.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"

问题: 1)如果wnode1.eviluser.org被拒绝,它甚至可能获得200个代码? 2)他们是否通过伪造我网站上的文件推荐人来绕过这个?

感谢。

1 个答案:

答案 0 :(得分:0)

Apache的docs for mod_authz_host建议如果在allow from语句中使用主机名,它将执行反向查找。 deny from没有提到任何内容,但我认为它的工作方式相同。 This blog post表明这种假设是正确的。

鉴于此,至少对于deny from语句,不应该伪造原始主机名。执行此操作的唯一方法是在数据包级别伪造原始IP地址,但有very limited situations可能有用。另一方面,您的RewriteCond %{HTTP_REFERER}显然会受到伪造。

我不熟悉Apache配置来查看你的代码并查看是否存在问题,但上面提示它可能是一个配置错误而不是Apache限制。

我会尝试根据IP地址拒绝(例如deny from 100.100.0.0),看看你是否会获得更好的结果。顺便问一下,你测试过自己的主机名吗? (例如,deny from localhost),或尝试拒绝具有您控制的有效反向查找的计算机?