Contourner les restrictions htaccess?

7

J'ai trouvé cela dans mes journaux d'accès Apache 

access.log:555.555.555.555 - - [05/May/2011:12:12:21 -0400] "GET /somedir/ HTTP/1.1" 403 291 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0"
access.log:555.555.555.555 - - [05/May/2011:12:12:29 -0400] "GET /somedir/ HTTP/1.1" 200 7629 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0"

So / somedir / a un fichier .htaccess qui ressemble à 

Order Deny,Allow
Deny from all
Allow from 333.333.333.333
Allow from 444.444.444.444

htaccess n'a pas été modifié dans les délais (8 secondes entre 12:12:21 et 12:12:29

Toute idée de la manière dont il est possible de frapper 403 interdit, puis 8 secondes plus tard 200 OK; Je suis perplexe

apache-2.2 .htaccess hacking Hrvoje Špoljar
la source
1
Ne comptez pas sur .htaccess pour limiter l’accès à vos fichiers en fonction de l’ip, cela peut être facilement ignoré.
Pedro Lobito
Pouvez-vous élaborer sur cette tuga?
Hrvoje Špoljar Le
Est-ce que / somedir / (ou son emplacement) est accessible via différents serveurs et / ou VirtualHosts? Tous ont-ils les mêmes paramètres AllowOverride?
tête de code le

Réponses:

1

Je pense que .htaccess n’est vérifié qu’à l’ouverture de la session TCP, et avec une manipulation astucieuse au niveau des paquets, il sera peut-être encore possible de manipuler les trames session ont alors la vraie adresse IP que vous avez essayé de bloquer.

C'est pourquoi nous avons des pare-feu avec état: htaccess ne remplace pas un pare-feu.

Soit ça, soit votre, htaccess n’est pas vérifié du tout - avez-vous testé son efficacité? :-)

Soren
la source
cela fonctionne pour les demandes normales; et je crois que ce que j'ai trouvé dans les journaux est une requête spécialement conçue qui a été autorisée alors qu'elle aurait dû être bloquée.
Hrvoje Špoljar
Avez-vous un pare-feu en place ... il est probable que certaines usurpations d'adresse IP se produisent si vous pensez avoir déjà testé le fonctionnement de ce dernier.
Soren
bien; Apache n'écoute que sur une seule adresse IP sur le port 80; que feriez-vous parodier? HTTP est un protocole TCP rien à spoof ici si vous voulez obtenir la réponse.
Hrvoje Špoljar
La session TCP est créée par un nombre de paquets syn-ack-control avant que les données ne commencent à circuler, il y a de quoi à détourner et à usurper. fr.wikipedia.org/wiki/…
Soren
2
Les vraies données peuvent être reniflées (sauf si SSL); Mais modifier l'adresse IP source dans le protocole TCP à moins que vous ne contrôliez le chemin de routage signifiera nécessairement que vous n'obtiendrez pas la réponse dans la session TCP, ce qui signifie que vous ne recevez pas "200 OK" ou "403 Forbidden", ni aucune autre réponse Établissez pas une connexion TCP. Ici, vous mélangez des pommes et des poires, car ARP correspond à la couche 2 du modèle OSI ( en.wikipedia.org/wiki/OSI_model ) et TCP à la couche 3; Donc, pour faire du piratage de session, vous devez être sur un réseau local avec la source à partir de laquelle détourner et les adresses IP mentionnées ne sont en aucun cas dans le même sous
Hrvoje Špoljar
1
  1. Est-ce que votre configuration de haut niveau vous permet d’utiliser .htaccess? Vérifiez votre directive AllowOverride http://httpd.apache.org/docs/1.3/mod/core.html#allowoverride. Vous devriez l'avoir définie sur All ou Limit.
  2. Vérifiez si vous n’avez aucune restriction d’autorisation dans votre configuration.
éjecter
la source