• ¡Bienvenido a XenFácil!

    Estás viendo el sitio como Invitado. Para poder participar en este sitio

    y obtendrás privilegios adicionales, acceso a otras áreas y mucho mas.

    ¡Es gratis!


    ¿Ya eres miembro? Inicia sesión

.htaccess Protección .htaccess contra exploits conocidos (algunos)

lms

Administrador
#1
Cory Booth no es un experto pero, tras perder su foro vBulletin a mano de hackers y mirando por internet, nos aporta esto que parece funciona.

Insertar CODE, HTML o PHP:
########## Inicio - Reescritura de reglas para bloquear algunos exploit conocidos
## Si experimenta problemas en su sitio, bloquee con las operaciones de abajo
## Esto frena los intentos más comunes de ataques exploit
#
# proc/self/environ? ¡Sin camino!
RewriteCond %{QUERY_STRING} proc\/self\/environ [OR]
# Bloquee cualquier script intentando configurar un valor mosConfig en una URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
#  Bloquee cualquier script intentando  de enmerdar código base64_encode en una URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
#  Bloquee cualquier script que incluya una etiqueta <script> en una URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
#  Bloquee cualquier script intentando configurar una variable PHP GLOBALS a través de una URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
#  Bloquee cualquier script intentando modificar una variable a _REQUEST a través de una URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# !Remitir todas las solicitudes bloqueadas a inicio con un error 403 Prohibido!
RewriteRule ^(.*)$ index.php [F,L]
#
########## Fin - Reescritura de reglas para bloquear algunos exploit conocidos
Artículo original en inglés en http://xenforo.com/community/threads/htaccess-protection.9801/

Salud2
 

iorG19

XenForoUser
#6
lo probaré! lo que no me ha quedado claro es donde ponerlo exactamente. despues de todo o antes de todo... gracias!
 

Andros

XenForoUser
#10
NPI. Te lo miraré pero cuando vaya más desahogado (fiestas en Tudela del 24 al 30, soy secretario de una peña y voy loco con las fiestas -Peña la JOTA - Inicio, web programada íntegramente por mi-), etc, pero piensa que no tengo nginx.

Salud2
investigaré si averiguas algo ya me dirás.

He visto la web esta chula, lo único que no me mola es el hueco que hay por el lado derecho.

El login habría que revisarlo a ver si es vulnerable a XSS o alguna otra cosilla, un abrazo.
 
Arriba