星期四, 1月22日, 2009 | 筆者:

我最近發現了與客戶的網站的問題因 .htaccess的 文件. 該網站託管在 視窗 服務器上運行 IIS 運用 IISPassword, 這使得使用 .htaccess的 它的設置文件.

IISPassword不遵循完全相同的規則與 阿帕奇 但. 如果.htaccess文件存在,那麼它 必須 包含IISPassword,適當的規則, 否則,服務器只返回下面的錯誤:

Error 500 given by IIS Password
下面是.htaccess文件的內容. 我只修改了最後的重定向URL指向example.com適當:

RewriteEngine敘述 
的RewriteCond %{HTTP_REFERER} .*谷歌* $ [NC,或]
的RewriteCond %{HTTP_REFERER} .*AOL。* $ [NC,或]
的RewriteCond %{HTTP_REFERER} .*MSN。* $ [NC,或]
的RewriteCond %{HTTP_REFERER} .*雅虎。* $ [NC,或]
的RewriteCond %{HTTP_REFERER} .*Yandex的。* $ [NC,或]
的RewriteCond %{HTTP_REFERER} .*漫步者。* $ [NC,或]
的RewriteCond %{HTTP_REFERER} .*一。* $ [NC]
重寫規則 .* HTTP://siffy-phishing-url.example.com [Ř,該]

如果這 與運行Apache的服務器上 mod_rewrite的, 大多數網絡用戶將直接進入到正確的網站內容. 只有當他們穿過的.htaccess中列出的搜索引擎和索引到達現場, 他們會被重定向到siffy釣魚網址的駭客想要的受害者達成.

當然, 該裂解裝置 (或者甚至一個自動化蠕蟲) 沒有認識到問題的服務器甚至沒有支持這些mod_rewrite規則. 但無論哪種方式, 這是非常令人擔憂的,因為我可以預見對網站是否是很多爭論 工作的

分享
類別: 託管, 隨機
您可以通過,這是一條任何反應 RSS 2.0 飼料. 您可以 留下回應, 或 引用通告 從您自己的網站.
發表評論 » 登錄