php - 如何防止 Directory Buster/Enumerator (DirB) 攻击?
问题描述
我有一个 apache 服务器(Apache/2.4.29 - Ubuntu:18.04.3 LTS [Bionic Beaver])。我最近注意到托管在其上的网站容易受到 Directory Buster 攻击。这意味着攻击者可以读取网站的整个结构和网站的 PHP 代码(对此不确定)。
我在网上搜索过,觉得 Apache 2.4.29 本身无法阻止 Directory Buster 攻击。虽然我找到了一种解决方案,建议在 .htaccess 文件中添加 REWRITE 规则,这似乎只有当攻击者没有更改攻击工具(例如,Directory Buster)中的标头时才可以,如果他更改了标头,他可以简单地阅读网站的结构。
如何完全阻止 Directory Buster 攻击? (无需购买昂贵的 IDS - 如果可能的话)
以下是我从网上收集到的关于这种情况的“可能解决方案”,建议在网站根目录的 .htaccess 文件中包含以下代码:
RewriteEngine On
<IfModule mod_rewrite.c>
RewriteCond %{HTTP_USER_AGENT} ^w3af.sourceforge.net [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} SF [OR]
RewriteCond %{HTTP_USER_AGENT} sqlmap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fimap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} nessus [NC,OR]
RewriteCond %{HTTP_USER_AGENT} whatweb [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Openvas [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jbrofuzz [NC,OR]
RewriteCond %{HTTP_USER_AGENT} libwhisker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webshag [NC,OR]
RewriteCond %{HTTP:Acunetix-Product} ^WVS
RewriteRule ^.* http://127.0.0.1/ [R=301,L]
</IfModule>
解决方案
推荐阅读
- vb.net - 如何在visual basic代码中计算平均值?
- react-native - 如何在反应原生的webview中嵌入来自json数据的视频?
- javascript - 为什么这返回未定义而不是值?
- java - 互操作 Java 和 Powershell
- java - java.lang.IllegalArgumentException:迭代变量不能为空
- python - 如何使用 django rest 框架在后端突出显示文章的一部分
- c# - Unity Emission Lighting 不影响导入的对象
- algorithm - 存储字典(单词)以优化搜索时间的良好数据结构是什么?
- c++ - 如何从 C++ 中的文本文件正文中获取特定的单词和行
- android - 当用户单击特定位置时,我想在地图上标记位置