Назад | Перейти на главную страницу

Обход ограничений htaccess?

Я нашел это в журналах доступа к apache

access.log:555.555.555.555 - - [05/May/2011:12:12:21 -0400] "GET /somedir/ HTTP/1.1" 403 291 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0"
access.log:555.555.555.555 - - [05/May/2011:12:12:29 -0400] "GET /somedir/ HTTP/1.1" 200 7629 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0"

Итак, / somedir / имеет файл .htaccess, который выглядит как

Order Deny,Allow
Deny from all
Allow from 333.333.333.333
Allow from 444.444.444.444

htaccess не был изменен в течение периода времени (8 секунд между 12:12:21 и 12:12:29

Есть идеи, как это возможно нажать 403 Forbidden, а затем через 8 секунд 200 OK; Я озадачен

  1. Позволяет ли ваша конфигурация верхнего уровня использовать .htaccess? Проверьте свои AllowOverride http://httpd.apache.org/docs/1.3/mod/core.html#allowoverride директива Вы должны были установить ее на Все или Предел
  2. Проверьте, нет ли у вас ограничений авторизации в вашей конфигурации (ах).

Я считаю, что .htaccess проверяется только при инициировании сеанса tcp, и с помощью умных манипуляций на уровне пакетов все еще может быть возможно манипулировать кадрами, чтобы первые кадры имели поддельный IP-адрес только во время настройки сеанса, а реальный session тогда будет реальный IP-адрес, который вы пытались заблокировать.

Вот почему у нас есть межсетевые экраны с отслеживанием состояния - htaccess не заменяет межсетевой экран.

Либо этот, либо ваш, htaccess вообще не проверяется - вы проверяли, что он работает? :-)