基於僞造引用鏈接的重定向

Question

我認爲一些惡意的機器人或用戶正在僞造請求中的引用鏈接，從而繞過了我的拒絕語句。

我htaccess具有其他片段中，以下

ErrorDocument 403 "Nothing Interesting Here" 
    order allow,deny 
    deny from .eviluser.org 
    allow from all 

而且我也有我的htaccess：

RewriteCond %{HTTP_REFERER} ^http(s)?://(www\.)?eviluser.*$ [NC] 
    RewriteRule .* - [F,L] 

但我的日誌顯示：

wnode1.eviluser.org - - [14/Nov/2012:18:21:44 -0500] "GET /some-document.html HTTP/1.0" 200 68584 "http://myoriginaldomain/some-document.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0" 

質詢： 1）如果wnode1.eviluser.org甚至可能獲得200代碼被拒絕？ 2）他們是否通過僞造我的網站上的文檔的引薦來繞過這個？

謝謝。

Answer 1

Apache的docs for mod_authz_host建議如果您在allow from語句中使用主機名，它將執行反向查找。沒有提到deny from，但我認爲這是以相同的方式工作。 This blog post表明該假設是正確的。

鑑於此，不應僞造原始主機名，至少對於deny from聲明。唯一的方法是在分組級別僞造始發IP地址，但有very limited situations可能有用。另一方面，你的RewriteCond %{HTTP_REFERER}顯然是僞造的。

對於Apache配置來查看代碼並查看是否有問題，但上述提示可能是配置錯誤而非Apache限制，我不夠好。

我想嘗試根據IP地址拒絕（例如deny from 100.100.0.0），看看你是否會得到更好的結果。順便說一下，你測試過自己的主機名嗎？ （例如，deny from localhost），或嘗試拒絕您使用您控制的有效反向查找的計算機？