我一直在尝试使用以下方法通过 IIS 7 中的请求过滤工具来限制 URL 中的反斜杠 \:
<configuration>
<system.webServer>
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence="\" />
</denyUrlSequences>
</requestFiltering>
</security>
</system.webServer>
</configuration>
然而,反斜杠规则被完全忽略了?请求过滤肯定是有效的,因为我已经尝试过使用字符串而不是反斜杠,例如contact-us,拒绝规则正确地将您发送到 404 页面。但是为什么它忽略了反斜杠?这里有什么遗漏吗?
感谢您的帮助
我试图拒绝一些我经常看到探测我的nginxWeb 服务器的用户代理。
如果我的.conf文件中有这个
## Block http user agent - morpheus fucking scanner ##
if ($http_user_agent ~* (morfeus fucking scanner|ZmEu)) {
return 403;
}
启动服务时出现以下错误:
nginx: [emerg] invalid condition "$http_user_agent" in /etc/nginx/sites-enabled/siteXXX:19
nginx: configuration file /etc/nginx/nginx.conf test failed
如果我在它周围加上引号,它会开始但不会像我期望的那样否认。
## Block http user agent - morpheus fucking scanner ##
if ($http_user_agent ~* "(morfeus fucking scanner|ZmEu)") {
return 403;
}
有任何想法吗?我正在寻找不区分大小写的用户代理拒绝。
在 nginx access.log 中,我看到很多行,例如:
1.2.3.4 - - [19/Oct/2014:22:48:11 -0400] "POST /someurl/suburl HTTP/1.1" 200 19967 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2"
它们之间唯一的共同点是“-”(我认为这意味着没有设置引用者)。
所以我尝试使用以下方法拒绝这些请求:
if ($http_referer ~ ^(-))
{ return 444;
}
但是,正如您在上面看到的,这不适用于 POST 请求。
在我的debian中所有文件,甚至系统文件都有权限rw-r--r--,所以这意味着所有用户都可以查看任何文件,甚至一些系统配置或数据库文件等。
如何防止用户读取所有系统文件?有什么办法可以设置全局权限,使用户无法读取所有文件?
大师。我有一个问题,我不知道如何解决它。我正在一些项目上使用 Git 和 Compass/SASS。现在我想保护这些目录。当我只去文件夹时,一切都很好——我得到了我期望的 403 禁止。
location ~ /\.git {
deny all;
}
但是当我尝试使用 git 中配置文件的完整路径时,浏览器开始下载它。与指南针相同的场景。config.rb文件夹中有一个文件也开始下载它。我怎样才能防止这种行为?
如何拒绝下载特定文件?
使用 Apache2 或 iptables,如果访问者的 IP 没有反向 DNS 或根本无法解析,是否有办法拒绝访问者?
我有一个针对具有有效反向 DNS 的特定人群的网站。一些没有反向 DNS 的垃圾邮件发送者和黑客来尝试向我的网站发送垃圾邮件/黑客。
他们被我的垃圾邮件拦截器拒绝/拒绝,但我仍然想阻止他们访问我的网站。
deny ×6
nginx ×3
apache-2.2 ×1
botnet ×1
debian ×1
files ×1
iis-7 ×1
iptables ×1
permissions ×1
redirect ×1
server-setup ×1
website ×1