限定某个目录禁止解析php+限制 user_agent

最新推荐文章于 2023-11-04 16:15:34 发布
最新推荐文章于 2023-11-04 16:15:34 发布
阅读量145 收藏
点赞数
文章标签: php 操作系统
原文链接:https://my.oschina.net/zhdya/blog/1502646
版权

限定某个目录禁止解析php :

实例解析:
有这样一种情况,有些站点和论坛是允许上传图片到服务器,但是这就给黑客留下了可进入服务器的大门,他们上传一些php或者js到服务器,然后被我们执行加载,有些函数可以让黑客获取最大的权限,从而对数据造成威胁!
为了避免这种事情的发生,我们需要限制上传类型。
  1. 配置:

在虚拟服务器中增加如下配置:

<Directory /data/wwwroot/test3.com/upload>
        php_admin_flag engine off
        <FilesMatch (.*)\.php(.*)>
        Order allow,deny
        deny from all
        </FilesMatch>
</Directory>

凡是在upload目录中的php均不解析!并且匹配任意.php的文件,全部拒绝访问!

  1. 测试(-t);加载配置(graceful)
  2. 创建upload目录,以及在upload目录下创建123.php去测试。
[root@localhost test3.com]# curl -x127.0.0.1:80 www.test3.com/upload/123.php
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /upload/123.php
on this server.<br />
</p>
</body></html>

如上当你访问.php文件时,直接拒绝,没有任何机会去访问,更别提执行了!

如果程序员让upload可以允许解析,那只有说明他不合格!静态文件存储的地方是不允许放php的。没有考虑到任何数据安全!!!

限制 user_agent :

User Agent中文名为用户代理,简称 UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
cc攻击:是我们经常见到的最常见的一种攻击,几乎每天每个时段都会存在。CC攻击就是黑客利用所能利用的肉鸡(就是所谓的黑客利用技术手段攻击下来的他人服务器)去攻击(正常的访问)你的站点,导致你的站点不可以被正常的用户所浏览。但是也不是不可防止,在攻击的时候有一个规律的特征,user_agent是一致的(其referer和访问页面是一致的,并且在一秒内发动N此访问)! 
<IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]
        RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
        RewriteRule  .*  -  [F]
   </IfModule>

咱们还是使用rewrite modul

RewriteCond %{HTTP_USER_AGENT}  .*curl.* [NC,OR]   //匹配Curl的访问   [NC,OR] NC:忽略大小写。 OR:是或者的意思,要么这一条,要么下一条满足情况
RewriteCond %{HTTP_USER_AGENT}  .*baidu.com.* [NC]
RewriteRule  .*  -  [F]   // F:Forbidden 禁止

只要使用curl和baidu.com来攻击,就会直接也不跳转了,就直接禁止!

[root@localhost test3.com]# curl -x127.0.0.1:80 www.test3.com
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.<br />
</p>
</body></html>

使用Curl这种方式访问直接被禁掉(You don't have permission to access on this server.)

当然你也可以使用curl -A :随意指定自己这次访问所宣称的自己的浏览器信息。

[root@localhost test3.com]# curl -A "haha browser" -x127.0.0.1:80 www.test3.com -I
HTTP/1.1 200 OK
Date: Thu, 03 Aug 2017 06:15:37 GMT
Server: Apache/2.4.27 (Unix) PHP/7.1.6
X-Powered-By: PHP/7.1.6
Content-Type: text/html; charset=UTF-8

改变浏览方式即可访问。查看下日志:

[root@localhost test3.com]# tail /usr/local/apache2.4/logs/test3.com-access_20170803.log 
127.0.0.1 - - [03/Aug/2017:14:12:41 +0800] "GET HTTP://www.test3.com/ HTTP/1.1" 403 209 "-" "curl/7.29.0"
127.0.0.1 - - [03/Aug/2017:14:15:37 +0800] "HEAD HTTP://www.test3.com/ HTTP/1.1" 200 - "-" "haha browser"

实用扩展:

apache 禁止trace或track防止xss攻击

转载于:https://my.oschina.net/zhdya/blog/1502646

chuanlixian7372
关注
Apache 配置静态缓存+禁止解析+限制访问目录
haoyiyide的博客
02-17 3526
1.Apache 配置静态缓存 为了提高资源的利用率,可以设置文件缓存的时间长短 # vim /usr/local/apache2/conf/extra/httpd-vhosts.conf 找到:CustomLog "|/usr/local/apache2/bin/rotatelogs -l /usr/local/apache2/logs/test.com-access_%Y%m
php curl简单采集图片生成base64编码(并附curl函数参数说明)
摘取天上星
05-02 4959
许多年前的代码突然拿来一用,特做此笔记(此处的code用来定位内部错误位置,非http code)<?php $url="http://c.hiphotos.baidu.com/image/w%3D210/sign=ed30880babec8a13141a50e1c7029157/d52a2834349b033be1a9503e17ce36d3d539bd35.gif"; function cu
限定某个目录禁止解析php 限制user_agent php相关配置
weixin_34090562的博客
06-05 82
一、限定某个目录禁止解析php通过禁止php解析图片目录,来限制网站被×××恶意找到后门获取到数据库权限#vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf#/usr/local/apache2.4/bin/apachectl -t#/usr/local/apache2.4/bin/apachectl graceful #mkdir uplo...
限定某个目录禁止解析php限制user_agentPHP相关配置
rain_yunlx的博客
03-08 326
一、限定某个目录禁止解析php 某个目录禁止解析 php,这个很有用,我们做网站安全的时候,这个用的很多, 比如某些目录可以上传文件, 为了避免上传的文件有木马, 所以我们禁止这个目录下面的访问解析 php. 1. 测试目标:禁止PHP解析111.com下upload目录内的文件     编辑虚拟主机配置文件 vim /usr/local/httpd2.4/conf/extra/htt
PHP】如何处理Ajax通过POST传递过来的数据
热门推荐
'Ablaze 的专栏
05-25 1万+
当传输一个参数时 &amp;amp;amp;lt;!DOCTYPE html&amp;amp;amp;gt; &amp;amp;amp;lt;html lang=&amp;amp;quot;en&amp;amp;quot;&amp;amp;amp;gt; &amp;amp;amp;lt;head&amp;amp;amp;gt; &amp;amp;amp;lt;meta charset=&amp;amp;quot;U
php突破ua限制,php cul突破防爬虫,服务器反爬虫攻略:Apache/Nginx/PHP禁止某些User Agent抓取网站...
weixin_36040020的博客
04-14 383
我们都知道网络上的爬虫非常多,有对网站收录有益的,比如百度蜘蛛(Baiduspider),也有不但不遵守robots规则对服务器造成压力,还不能为网站带来流量的无用爬虫,比如宜搜蜘蛛(YisouSpider)(最新补充:宜搜蜘蛛已被UC神马搜索收购!所以本文已去掉宜搜蜘蛛的禁封!==>相关文章)。最近张戈发现nginx日志中出现了好多宜搜等垃圾的抓取记录,于是整理收集了网络上各种禁止垃圾蜘蛛...
linux的apache2.4限定某个目录禁止解析PHPuser_agentPHP相关配置1
08-08
首先,我们要禁止某个目录解析PHP。以 `/data/wwwroot/111.com/upload` 为例,我们需要编辑虚拟主机配置文件,通常是 `/usr/local/apache2.4/conf/extra/httpd-vhosts.conf`。在这个文件中,添加以下内容: ```...
PHP 学习路线
墨鱼菜鸡
07-11 3514
PHP 官网文档(中文):https://www.php.net/manual/zh/langref.php ThinkPhp (官方手册、入门教程):https://sites.thinkphp.cn/1556331 ​W3School PHP 教程:http://www.w3school.com.cn/php/index.asp w3cschool...
开发知识点-PHP从小白到拍簧片
最新发布
aming小老弟
11-04 729
收集来自 method=“post” 的表单中的值。POST 方法的发送信息的量最大值为 8 MB(可通过设置 php.ini 文件中的 post_max_size 进行更改)
php判段ua限制访问,php实现根据浏览器ua信息检测用户是否用手机(Mobile)访问网站的类...
weixin_28881989的博客
03-10 460
php实现根据浏览器ua信息检测用户是否用手机(Mobile)访问网站的类发布于 2015-01-29 13:57:25 | 152 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于...
如何获取UA?
一天一点进步
06-29 1446
function whatBrowser() { document.Browser.Name.value=navigator.appName; document.Browser.Version.value=navigator.appVersion; document.Browser.Code.value=navigator.appCodeName; document.Bro
php获取ua的微信版本号
ZO的博客
08-18 1909
$ua = strtolower($_SERVER['HTTP_USER_AGENT']);//转换后 $ua = 'mozilla/5.0 (linux; android 6.0; f5 build/mra58k; wv) applewebkit/537.36 (khtml, like gecko) version/4.0 chrome/53.0.2785.49 mobile mqqbrowser
LAMP环境-限定PHP解析useragentPHP相关配置、Apache相关配置
weixin_34310127的博客
08-03 126
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP限制网页只允许在微信自带浏览器访问的技巧
小唐的技术博客
01-15 2364
为了防止自己辛辛苦苦做的webapp被人copy,我们都想限制程序只能在微信里面浏览,虽然下面实现了这个功能,单都是小菜,没什么技术含量,懂代码的伪造下就破了。下面是PHP限制页面只能在微信自带浏览器访问的代码(世界买家网小梁提供)。 $useragent = $_SERVER['HTTP_USER_AGENT']; if (strpos($useragent, 'MicroMess
php禁止ua,服务器禁止某些User Agent抓取网站
weixin_33918202的博客
04-14 755
通过User Agent,可以禁止一些我们想禁止掉的访问,下午,大叔发生nginx日志中好多奇怪的访问抓取记录,特别是利用ApacheBench进行的恶意检测,于是立刻跟6P协会一起讨论起来,根据碗叔和维维的经验,整理了以下教程,方便自己和其他站长学习吧!一、Apache①、通过修改 .htaccess文件修改网站目录下的.htaccess,添加如下代码即可(2种代码任选):可用代码 (1):Re...
限定某个目录禁止解析php 限制user_agent php相关配置
wanli245的博客
06-03 795
1,限定某个目录禁止解析php。     对于使用PHP语言编写的网站,有一些目录是由需求上传文件的,如果被黑客上传了用php代码写的木马,由于网站可以执行php程序,最终会让黑客拿到服务器权限。为了避免这种情况发生,我们需要把能上传文件的目录直接禁止解析php代码。编辑配置文件:         &lt;Directory /data/wwwroot/www.123.com/upload&g...
解除Windows XP IIS 10个并发连接数的限制
dcyd4444的博客
08-21 378
在Windows Xp上跑IIS,有个最多10个并发连接数的限制,在做测试时,有时非常烦人。 但是,说也奇怪,这个限制是微软一手制造的,但是微软却又提供了解除这个限制的工具,嘿嘿,那就是 MetaEdit。 MetaEdit是微软提供的一个IIS管理工具,本意是提供给Windows 2000的,但是,却可以被XP利用 解除10连接限制的步骤: 从微软官方,下载 MetaEdi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值