ThaiSEOBoard.com

พัฒนาเว็บไซต์ => CMS & Free Script => ข้อความที่เริ่มโดย: CreePer ที่ 17 มีนาคม 2014, 12:41:31


หัวข้อ: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: CreePer ที่ 17 มีนาคม 2014, 12:41:31
แจก .htaccess ป้องกันการแฮกเว็บไซต์ ปลอดภัยจากเหล่า Hacker ทั้งหลาย

แจกฟรี ห้ามนำไปขายนะครับ *-*

ใช้แล้วได้ผลยังไงมาบอกกันด้วยนะครับ
 :wanwan013: :wanwan013:
โค๊ด:
http://www.mediafire.com/download/wm15ou53c4cnaxp/htaccess.rar

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: mikeyx ที่ 17 มีนาคม 2014, 12:48:21
โค๊ด:
Options +FollowSymLinks
RewriteEngine On
RewriteBase /
# Rewrite Rules

RewriteRule ^.*EXEC\(@.*$        - [R=404,L,NC]
RewriteRule ^.*CAST\(.*$         - [R=404,L,NC] 
RewriteRule ^.*DECLARE.*$        - [R=404,L,NC]  
RewriteRule ^.*DECLARE%20.*$     - [R=404,L,NC]
RewriteRule ^.*NVARCHAR.*$       - [R=404,L,NC]  
RewriteRule ^.*sp_password.*$    - [R=404,L,NC]
RewriteRule ^.*%20xp_.*$         - [R=404,L,NC]



RewriteCond %{HTTP_HOST} !^www\.  
RewriteCond %{REQUEST_FILENAME} !-f [NC]
RewriteCond %{REQUEST_FILENAME} !-d [NC]
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]




ServerSignature Off
# Block suspicious request methods
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]

# Block WP timthumb hack
RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
RewriteRule . - [S=1]

# Block suspicious user agents and requests
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]

# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
RewriteRule ^(.*)$ - [F,L]

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: 1ZAA ที่ 17 มีนาคม 2014, 12:55:08
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: Seventh ที่ 17 มีนาคม 2014, 13:20:24
มือใหม่ อยากสอบถามวิธีการติดตั้งและใช้งานครับ
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: CreePer ที่ 17 มีนาคม 2014, 13:23:45
อ้างจาก: Seventh ที่ 17 มีนาคม 2014, 13:20:24
มือใหม่ อยากสอบถามวิธีการติดตั้งและใช้งานครับ
ขอบคุณครับ

ถ้าบนโฮสยังไม่มี .htaccess ก็อัพขึ้น FTP ได้เลยครับ

แต่ถ้ามีอยู่แล้วก็ เอาไปปรับให้เข้ากับ .htaccess อันเก่า ครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: iak1 ที่ 17 มีนาคม 2014, 13:25:50



+1 ให้ครับ   :wanwan017:




หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: buyteppen ที่ 17 มีนาคม 2014, 13:30:20
ขอบคุณมาก จะลองเอาไปใช้ แค่อัพไฟล์ขึ้นโฮสอย่างเดียวใช่ไหม

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: CreePer ที่ 17 มีนาคม 2014, 13:41:36
อ้างจาก: buyteppen ที่ 17 มีนาคม 2014, 13:30:20
ขอบคุณมาก จะลองเอาไปใช้ แค่อัพไฟล์ขึ้นโฮสอย่างเดียวใช่ไหม

ครับผม

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: hatyaiwebdesign ที่ 17 มีนาคม 2014, 14:18:19
ขอบพระคุณครับ +1

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: fil22t ที่ 17 มีนาคม 2014, 15:43:26
 :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: เซียนคอม ในตำนาน ที่ 17 มีนาคม 2014, 17:03:51
ระดับเทพมาแจก เก็บไว้ก่อน
 :-*

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: xvlnw.com ที่ 17 มีนาคม 2014, 17:12:32
ฝากด้วยครับ
http://xvlnw.com/read/2723

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: Seventh ที่ 17 มีนาคม 2014, 17:25:58
ขอบคุณครับ +1ให้กับน้ำใจครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: akkradet ที่ 17 มีนาคม 2014, 17:31:07
ขอบคุณสำหรับน้ำใจครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: CreePer ที่ 17 มีนาคม 2014, 19:01:10
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ
ทำไมจะไม่ได้ผมลองมาแล้วครับทางบริษัท Gameindy ก็ใช้อยุ่ ผมเป็น BlackHat PCT รองมาหมดแบ้วว *-*

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: CreePer ที่ 17 มีนาคม 2014, 19:01:51
อ้างจาก: เซียนคอม ในตำนาน ที่ 17 มีนาคม 2014, 17:03:51
ระดับเทพมาแจก เก็บไว้ก่อน
 :-*
ผมยังกากอยู่เบยท่านเซียน *-*

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: Optimus ที่ 17 มีนาคม 2014, 19:04:03
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: cheapdeals ที่ 17 มีนาคม 2014, 19:14:21
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: SEOHostThailand ที่ 17 มีนาคม 2014, 19:24:34
ขอบคุณค่ะ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: palika ที่ 17 มีนาคม 2014, 19:27:33
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: Mr.Bet ที่ 17 มีนาคม 2014, 19:29:18
ขอบคุณครับ

 :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: romance69 ที่ 17 มีนาคม 2014, 19:34:36
ขอบคุณมากครับ  :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: LIKEPLAZA ที่ 17 มีนาคม 2014, 19:38:00
ขอบคุณนะครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: ยิ้มโค้ด.คอม ที่ 17 มีนาคม 2014, 20:07:45
ขอบคุณครับผม

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: cracky ที่ 17 มีนาคม 2014, 21:40:51
อ้างจาก: CreePer ที่ 17 มีนาคม 2014, 19:01:10
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ
ทำไมจะไม่ได้ผมลองมาแล้วครับทางบริษัท Gameindy ก็ใช้อยุ่ ผมเป็น BlackHat PCT รองมาหมดแบ้วว *-*

ถ้าจะเถียง อย่าอ้างอิงบริษัทอื่นครับ เอาชื่อบริษัทมาไม่ช่วยอะไร
ไหนคุณลองอธิบายสิว่า การ Reqwite URL ป้องกัน SQL Injection ได้ยังไง
อย่าบอกว่าตัวเองเป็น Blackhat ถ้าคุณยังอธิบายแบบละเอียดไม่ได้ว่า .htaccess ที่ให้มานั้น ทำหน้าที่อย่างไร
บอกว่าตัวเองเป็น Blackhat เขียนโปรแกรมภาษาอะไรได้บ้างครับ


ที่สำคัญคือ คนแจก ไม่น่าเอาเรื่องพวกนี้มาล้อเล่นถ้าไม่รู้จริง พาลจะทำให้คนคิดว่ามันป้องกันได้จริงๆ
สุดท้ายก็เหมือนห้อยพระ เป็นแค่ความเชื่อ สุดท้ายเกิดอะไรขึ้นพระก็ช่วยไม่ได้

เรื่อง Security เป็นเรื่องใหญ่ ที่ควรศึกษา ไม่ใช่อาศัยความเชื่อแค่ htaccess ป้องกัน

.htaccess ที่ให้มานี้ ไม่ได้ป้องกันแฮก เพียงแต่จัดระเบียบแบบคร่าวๆ ให้การเชื่อมต่อไปแบบน่าสงสัยใช้งานไม่ได้เฉยๆ
ซึ่งเอาจริงๆแล้ว แฮกเกอร์ มักมาในช่องทางปรกติได้เหมือนกันครับ

ผมจะอธิบายไว้เป็นวิทยาทาน

อ้างถึง
# Block suspicious request methods
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อคการเชื่อมต่อ Method แบบแปลกๆ ซึ่งจริงๆการเชื่อมต่อปรกติจะมีแค่ GET กับ POST ดังนั้นพวก HEAD,TRACE,DELETE,TARCK,DEBUG   จะไม่สามารถใช้งานได้
แต่!!! ใครเขาก็แฮกผ่าน GET , POST ทั้งนั้นแหละครับ


อ้างถึง
# Block WP timthumb hack
RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
RewriteRule . - [S=1]
ป้องกัน WP timthumb hack สำหรับ Wordpress เท่านั้น เว็ปทั่วไปจะป้องกันทำไม ถ้าไม่ได้ใช้ Wordpress
และเวอร์ชั่นล่าสุด ก็ใช้ช่องโหว่นี้ไม่ได้แล้วด้วย


อ้างถึง
# Block suspicious user agents and requests
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]
บล็อกการเข้าใช้งานผ่านโปรแกรมอื่นๆ ที่ไม่ใช่เบราเซอร์  เช่น ถ้าใช้ JAVA ยิงมาก็จะใช้งานไม่ได้ แต่ถ้าใช้ IE เล่นก็จะใช้งานได้ตามปรกติ
แต่!!!!! User Agent มันปลอมกันได้ครับ ผมจะเขียน JAVA แล้วปลอมตัวเป็น IE , Chome , Firefox ก็ได้ทั้งนั้นแหละ
แล้วผมก็แฮกได้ตามปรกติ


อ้างถึง
# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อค SQL Injection สำหรับ Query String หรือแบบ GET เท่านั้น
แต่ ถ้าผมส่งแบบ POST ก็ผ่านฉลุย  ไฟล์ .htaccess มันไปยุ่ง Package Bodyไม่ได้ครับ มันยุ่งได้แค่ URL มันจึงดักได้แค่ Query String


ยังไม่รวมถึงการแฮกโดยผ่านช่องทางอื่น ที่ไม่ใช่ HTTP อีกนะครับ

ที่สำคัญคือ เรื่องพวกนี้ มั่วไม่ได้นะครับ   คิดว่าใช้แล้วปลอดภัย ก็ทำไป แต่ถ้ามันเป็นแค่ความเชื่อ เราเชื่อของเราคนเดียวว่าปลอดภัย อุ่นใจตัวเอง
แต่ Hacker มันยืนอยู่บนความเป็นจริง ไม่ใช่ความเชื่อครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: srayuth089 ที่ 17 มีนาคม 2014, 22:23:11
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 21:40:51
อ้างจาก: CreePer ที่ 17 มีนาคม 2014, 19:01:10
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ
ทำไมจะไม่ได้ผมลองมาแล้วครับทางบริษัท Gameindy ก็ใช้อยุ่ ผมเป็น BlackHat PCT รองมาหมดแบ้วว *-*

ถ้าจะเถียง อย่าอ้างอิงบริษัทอื่นครับ เอาชื่อบริษัทมาไม่ช่วยอะไร
ไหนคุณลองอธิบายสิว่า การ Reqwite URL ป้องกัน SQL Injection ได้ยังไง
อย่าบอกว่าตัวเองเป็น Blackhat ถ้าคุณยังอธิบายแบบละเอียดไม่ได้ว่า .htaccess ที่ให้มานั้น ทำหน้าที่อย่างไร
บอกว่าตัวเองเป็น Blackhat เขียนโปรแกรมภาษาอะไรได้บ้างครับ


ที่สำคัญคือ คนแจก ไม่น่าเอาเรื่องพวกนี้มาล้อเล่นถ้าไม่รู้จริง พาลจะทำให้คนคิดว่ามันป้องกันได้จริงๆ
สุดท้ายก็เหมือนห้อยพระ เป็นแค่ความเชื่อ สุดท้ายเกิดอะไรขึ้นพระก็ช่วยไม่ได้

เรื่อง Security เป็นเรื่องใหญ่ ที่ควรศึกษา ไม่ใช่อาศัยความเชื่อแค่ htaccess ป้องกัน

.htaccess ที่ให้มานี้ ไม่ได้ป้องกันแฮก เพียงแต่จัดระเบียบแบบคร่าวๆ ให้การเชื่อมต่อไปแบบน่าสงสัยใช้งานไม่ได้เฉยๆ
ซึ่งเอาจริงๆแล้ว แฮกเกอร์ มักมาในช่องทางปรกติได้เหมือนกันครับ

ผมจะอธิบายไว้เป็นวิทยาทาน

อ้างถึง
# Block suspicious request methods
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อคการเชื่อมต่อ Method แบบแปลกๆ ซึ่งจริงๆการเชื่อมต่อปรกติจะมีแค่ GET กับ POST ดังนั้นพวก HEAD,TRACE,DELETE,TARCK,DEBUG   จะไม่สามารถใช้งานได้
แต่!!! ใครเขาก็แฮกผ่าน GET , POST ทั้งนั้นแหละครับ


อ้างถึง
# Block WP timthumb hack
RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
RewriteRule . - [S=1]
ป้องกัน WP timthumb hack สำหรับ Wordpress เท่านั้น เว็ปทั่วไปจะป้องกันทำไม ถ้าไม่ได้ใช้ Wordpress
และเวอร์ชั่นล่าสุด ก็ใช้ช่องโหว่นี้ไม่ได้แล้วด้วย


อ้างถึง
# Block suspicious user agents and requests
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]
บล็อกการเข้าใช้งานผ่านโปรแกรมอื่นๆ ที่ไม่ใช่เบราเซอร์  เช่น ถ้าใช้ JAVA ยิงมาก็จะใช้งานไม่ได้ แต่ถ้าใช้ IE เล่นก็จะใช้งานได้ตามปรกติ
แต่!!!!! User Agent มันปลอมกันได้ครับ ผมจะเขียน JAVA แล้วปลอมตัวเป็น IE , Chome , Firefox ก็ได้ทั้งนั้นแหละ
แล้วผมก็แฮกได้ตามปรกติ


อ้างถึง
# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อค SQL Injection สำหรับ Query String หรือแบบ GET เท่านั้น
แต่ ถ้าผมส่งแบบ POST ก็ผ่านฉลุย  ไฟล์ .htaccess มันไปยุ่ง Package Bodyไม่ได้ครับ มันยุ่งได้แค่ URL มันจึงดักได้แค่ Query String


ยังไม่รวมถึงการแฮกโดยผ่านช่องทางอื่น ที่ไม่ใช่ HTTP อีกนะครับ

ที่สำคัญคือ เรื่องพวกนี้ มั่วไม่ได้นะครับ   คิดว่าใช้แล้วปลอดภัย ก็ทำไป แต่ถ้ามันเป็นแค่ความเชื่อ เราเชื่อของเราคนเดียวว่าปลอดภัย อุ่นใจตัวเอง
แต่ Hacker มันยืนอยู่บนความเป็นจริง ไม่ใช่ความเชื่อครับ
ขอบคุณครับ ได้ความรู้อีกเยาะ :wanwan003:
เทพ สุดดด :'(

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: iak1 ที่ 17 มีนาคม 2014, 23:44:30
ถูกครับ เพราะเจ้าของกระทู้ใช้ชื่อกระทู้ว่า  "ป้องกันการแฮกเว็บไซต์" 
ผมก็มองว่าไม่สามารถใช้คำนี้ได้   :wanwan003:

เพราะเนื้อหาที่โพสมา ป้องกันได้แค่ บางจุดเท่านั้น....  (จุดเล็กๆ)   :-[

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: adidog ที่ 18 มีนาคม 2014, 08:25:58
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 21:40:51
อ้างจาก: CreePer ที่ 17 มีนาคม 2014, 19:01:10
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ
ทำไมจะไม่ได้ผมลองมาแล้วครับทางบริษัท Gameindy ก็ใช้อยุ่ ผมเป็น BlackHat PCT รองมาหมดแบ้วว *-*

ถ้าจะเถียง อย่าอ้างอิงบริษัทอื่นครับ เอาชื่อบริษัทมาไม่ช่วยอะไร
ไหนคุณลองอธิบายสิว่า การ Reqwite URL ป้องกัน SQL Injection ได้ยังไง
อย่าบอกว่าตัวเองเป็น Blackhat ถ้าคุณยังอธิบายแบบละเอียดไม่ได้ว่า .htaccess ที่ให้มานั้น ทำหน้าที่อย่างไร
บอกว่าตัวเองเป็น Blackhat เขียนโปรแกรมภาษาอะไรได้บ้างครับ


ที่สำคัญคือ คนแจก ไม่น่าเอาเรื่องพวกนี้มาล้อเล่นถ้าไม่รู้จริง พาลจะทำให้คนคิดว่ามันป้องกันได้จริงๆ
สุดท้ายก็เหมือนห้อยพระ เป็นแค่ความเชื่อ สุดท้ายเกิดอะไรขึ้นพระก็ช่วยไม่ได้

เรื่อง Security เป็นเรื่องใหญ่ ที่ควรศึกษา ไม่ใช่อาศัยความเชื่อแค่ htaccess ป้องกัน

.htaccess ที่ให้มานี้ ไม่ได้ป้องกันแฮก เพียงแต่จัดระเบียบแบบคร่าวๆ ให้การเชื่อมต่อไปแบบน่าสงสัยใช้งานไม่ได้เฉยๆ
ซึ่งเอาจริงๆแล้ว แฮกเกอร์ มักมาในช่องทางปรกติได้เหมือนกันครับ

ผมจะอธิบายไว้เป็นวิทยาทาน

อ้างถึง
# Block suspicious request methods
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อคการเชื่อมต่อ Method แบบแปลกๆ ซึ่งจริงๆการเชื่อมต่อปรกติจะมีแค่ GET กับ POST ดังนั้นพวก HEAD,TRACE,DELETE,TARCK,DEBUG   จะไม่สามารถใช้งานได้
แต่!!! ใครเขาก็แฮกผ่าน GET , POST ทั้งนั้นแหละครับ


อ้างถึง
# Block WP timthumb hack
RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
RewriteRule . - [S=1]
ป้องกัน WP timthumb hack สำหรับ Wordpress เท่านั้น เว็ปทั่วไปจะป้องกันทำไม ถ้าไม่ได้ใช้ Wordpress
และเวอร์ชั่นล่าสุด ก็ใช้ช่องโหว่นี้ไม่ได้แล้วด้วย


อ้างถึง
# Block suspicious user agents and requests
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]
บล็อกการเข้าใช้งานผ่านโปรแกรมอื่นๆ ที่ไม่ใช่เบราเซอร์  เช่น ถ้าใช้ JAVA ยิงมาก็จะใช้งานไม่ได้ แต่ถ้าใช้ IE เล่นก็จะใช้งานได้ตามปรกติ
แต่!!!!! User Agent มันปลอมกันได้ครับ ผมจะเขียน JAVA แล้วปลอมตัวเป็น IE , Chome , Firefox ก็ได้ทั้งนั้นแหละ
แล้วผมก็แฮกได้ตามปรกติ


อ้างถึง
# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อค SQL Injection สำหรับ Query String หรือแบบ GET เท่านั้น
แต่ ถ้าผมส่งแบบ POST ก็ผ่านฉลุย  ไฟล์ .htaccess มันไปยุ่ง Package Bodyไม่ได้ครับ มันยุ่งได้แค่ URL มันจึงดักได้แค่ Query String


ยังไม่รวมถึงการแฮกโดยผ่านช่องทางอื่น ที่ไม่ใช่ HTTP อีกนะครับ

ที่สำคัญคือ เรื่องพวกนี้ มั่วไม่ได้นะครับ   คิดว่าใช้แล้วปลอดภัย ก็ทำไป แต่ถ้ามันเป็นแค่ความเชื่อ เราเชื่อของเราคนเดียวว่าปลอดภัย อุ่นใจตัวเอง
แต่ Hacker มันยืนอยู่บนความเป็นจริง ไม่ใช่ความเชื่อครับ
+1เลยครับ ขอบคุณสำหรับความรู้ครับ  :wanwan017: :wanwan017: :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: ndesigns ที่ 18 มีนาคม 2014, 08:42:22
ความรู้ดีๆทั้งนั้นเลยคับ   :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: goong ที่ 18 มีนาคม 2014, 08:46:29
ขอบคุณสำหรับความรู้ค่ะ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: หนุ่มบ้านโคก ที่ 18 มีนาคม 2014, 08:58:04
ได้ความรู้  :o

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: jakkagi ที่ 18 มีนาคม 2014, 09:44:16
ขอบคุณครับสำหรับความรู้

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: nuttdam ที่ 18 มีนาคม 2014, 10:11:46
ความรู้ดีๆทั้งนั้น ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: konkonkan ที่ 18 มีนาคม 2014, 10:19:33
ขอบคุณมากครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: jommha ที่ 18 มีนาคม 2014, 13:39:51
แหล่มเลย น้ำใจงามแท้ :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: joetiaw ที่ 18 มีนาคม 2014, 13:53:21
เมพขิงๆ  :wanwan003:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: lhinping3800 ที่ 19 มีนาคม 2014, 10:37:32
น่าสนใจมากเลยค่ะ ขอบคุณค่ะ :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: chhopster ที่ 19 มีนาคม 2014, 11:48:07
 กำลังสงสัยอยู่พอดีว่าโค๊ดยาวๆแต่ละบรรทัดใช่ทำอะไรมั้ง ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: max_us ที่ 19 มีนาคม 2014, 12:37:14
ได้ความรู้ดีๆ  ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: MaMa.Killer ที่ 19 มีนาคม 2014, 12:44:13
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: sn0wiron ที่ 19 มีนาคม 2014, 13:01:23
เก็บลงคลัง..

แต่ขอฝากไว้นะครับ ไม่ว่าระบบไหนในโลกล้วนแล้วแต่มีช่องโหว่ทั้งนั้น ไม่มีอะไรสามารถกันแฮคได้ทุกอย่าง เราอาจคิดไปเองว่าไม่มีช่องโหว่ แต่! มันมี เราหาไม่เจอเท่านั้นเอง
คุณ cracky อธิบาย สุดยอดครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: ptteppawong ที่ 19 มีนาคม 2014, 13:37:56
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 21:40:51
อ้างจาก: CreePer ที่ 17 มีนาคม 2014, 19:01:10
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ
ทำไมจะไม่ได้ผมลองมาแล้วครับทางบริษัท Gameindy ก็ใช้อยุ่ ผมเป็น BlackHat PCT รองมาหมดแบ้วว *-*

ถ้าจะเถียง อย่าอ้างอิงบริษัทอื่นครับ เอาชื่อบริษัทมาไม่ช่วยอะไร
ไหนคุณลองอธิบายสิว่า การ Reqwite URL ป้องกัน SQL Injection ได้ยังไง
อย่าบอกว่าตัวเองเป็น Blackhat ถ้าคุณยังอธิบายแบบละเอียดไม่ได้ว่า .htaccess ที่ให้มานั้น ทำหน้าที่อย่างไร
บอกว่าตัวเองเป็น Blackhat เขียนโปรแกรมภาษาอะไรได้บ้างครับ


ที่สำคัญคือ คนแจก ไม่น่าเอาเรื่องพวกนี้มาล้อเล่นถ้าไม่รู้จริง พาลจะทำให้คนคิดว่ามันป้องกันได้จริงๆ
สุดท้ายก็เหมือนห้อยพระ เป็นแค่ความเชื่อ สุดท้ายเกิดอะไรขึ้นพระก็ช่วยไม่ได้

เรื่อง Security เป็นเรื่องใหญ่ ที่ควรศึกษา ไม่ใช่อาศัยความเชื่อแค่ htaccess ป้องกัน

.htaccess ที่ให้มานี้ ไม่ได้ป้องกันแฮก เพียงแต่จัดระเบียบแบบคร่าวๆ ให้การเชื่อมต่อไปแบบน่าสงสัยใช้งานไม่ได้เฉยๆ
ซึ่งเอาจริงๆแล้ว แฮกเกอร์ มักมาในช่องทางปรกติได้เหมือนกันครับ

ผมจะอธิบายไว้เป็นวิทยาทาน

อ้างถึง
# Block suspicious request methods
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อคการเชื่อมต่อ Method แบบแปลกๆ ซึ่งจริงๆการเชื่อมต่อปรกติจะมีแค่ GET กับ POST ดังนั้นพวก HEAD,TRACE,DELETE,TARCK,DEBUG   จะไม่สามารถใช้งานได้
แต่!!! ใครเขาก็แฮกผ่าน GET , POST ทั้งนั้นแหละครับ


อ้างถึง
# Block WP timthumb hack
RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
RewriteRule . - [S=1]
ป้องกัน WP timthumb hack สำหรับ Wordpress เท่านั้น เว็ปทั่วไปจะป้องกันทำไม ถ้าไม่ได้ใช้ Wordpress
และเวอร์ชั่นล่าสุด ก็ใช้ช่องโหว่นี้ไม่ได้แล้วด้วย


อ้างถึง
# Block suspicious user agents and requests
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]
บล็อกการเข้าใช้งานผ่านโปรแกรมอื่นๆ ที่ไม่ใช่เบราเซอร์  เช่น ถ้าใช้ JAVA ยิงมาก็จะใช้งานไม่ได้ แต่ถ้าใช้ IE เล่นก็จะใช้งานได้ตามปรกติ
แต่!!!!! User Agent มันปลอมกันได้ครับ ผมจะเขียน JAVA แล้วปลอมตัวเป็น IE , Chome , Firefox ก็ได้ทั้งนั้นแหละ
แล้วผมก็แฮกได้ตามปรกติ


อ้างถึง
# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อค SQL Injection สำหรับ Query String หรือแบบ GET เท่านั้น
แต่ ถ้าผมส่งแบบ POST ก็ผ่านฉลุย  ไฟล์ .htaccess มันไปยุ่ง Package Bodyไม่ได้ครับ มันยุ่งได้แค่ URL มันจึงดักได้แค่ Query String


ยังไม่รวมถึงการแฮกโดยผ่านช่องทางอื่น ที่ไม่ใช่ HTTP อีกนะครับ

ที่สำคัญคือ เรื่องพวกนี้ มั่วไม่ได้นะครับ   คิดว่าใช้แล้วปลอดภัย ก็ทำไป แต่ถ้ามันเป็นแค่ความเชื่อ เราเชื่อของเราคนเดียวว่าปลอดภัย อุ่นใจตัวเอง
แต่ Hacker มันยืนอยู่บนความเป็นจริง ไม่ใช่ความเชื่อครับ


อธิบายได้สุดยอดมากครับ นับถือๆๆๆ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: ShowOff ที่ 19 มีนาคม 2014, 14:21:39
+1 กำลังอยากได้อยู่เลยครับ ขอบคุณมากเลยครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: Visarn ที่ 19 มีนาคม 2014, 16:30:05
เก็บไว้ ขอลองเอาไปใช้สักหน่อย ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: fingerscan ที่ 20 มีนาคม 2014, 12:47:45
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: CrazyJoke ที่ 21 มีนาคม 2014, 01:40:09
ขอบคุณค้าบบบ ความรู้ทั้งนั้น  :wanwan011:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: 0ZAA ที่ 21 มีนาคม 2014, 02:51:49
ขอบคุณครับ ดีเลยครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: ytoom99su ที่ 21 มีนาคม 2014, 07:19:27
กัน เจ้า semalt.com ได้มั้ยครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: necrotorture ที่ 21 มีนาคม 2014, 09:33:19
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: jamess2600 ที่ 26 มีนาคม 2014, 20:27:45
**ขอแนะนำผู้ที่เอาไปใช้นะครับ ต้องปรับแต่งบางจุดให้เข้ากับโฟลเดอร์ย่อยๆ ในโฮสของท่านด้วยนะครับ ไม่งั้นจะเข้าไม่ได้นะครับ  :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: weaknesspays ที่ 26 มีนาคม 2014, 22:39:45
 :wanwan017: :wanwan017: :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: arthur ที่ 30 มีนาคม 2014, 22:50:07
ขอบคุณมากๆ ครับ  :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: Tongzz ที่ 31 มีนาคม 2014, 00:14:58
ไม่เคยใช้ แต่ขอบคุณก่อนครับ ^^

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: adspostfree ที่ 31 มีนาคม 2014, 09:43:11
ขอเอาไปลองดูหน่อย ขอบคุณครับ   :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: dany009 ที่ 31 มีนาคม 2014, 10:18:54
คุณ CRACKY เข้ามาโปรยท่านบ่อยๆนะครับขอบคุณ :wanwan016:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: cloudsphere ที่ 31 มีนาคม 2014, 10:19:08
ขอบคุณมากๆครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: partyboy ที่ 31 มีนาคม 2014, 22:29:44
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 21:40:51
อ้างจาก: CreePer ที่ 17 มีนาคม 2014, 19:01:10
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ
ทำไมจะไม่ได้ผมลองมาแล้วครับทางบริษัท Gameindy ก็ใช้อยุ่ ผมเป็น BlackHat PCT รองมาหมดแบ้วว *-*

ถ้าจะเถียง อย่าอ้างอิงบริษัทอื่นครับ เอาชื่อบริษัทมาไม่ช่วยอะไร
ไหนคุณลองอธิบายสิว่า การ Reqwite URL ป้องกัน SQL Injection ได้ยังไง
อย่าบอกว่าตัวเองเป็น Blackhat ถ้าคุณยังอธิบายแบบละเอียดไม่ได้ว่า .htaccess ที่ให้มานั้น ทำหน้าที่อย่างไร
บอกว่าตัวเองเป็น Blackhat เขียนโปรแกรมภาษาอะไรได้บ้างครับ


ที่สำคัญคือ คนแจก ไม่น่าเอาเรื่องพวกนี้มาล้อเล่นถ้าไม่รู้จริง พาลจะทำให้คนคิดว่ามันป้องกันได้จริงๆ
สุดท้ายก็เหมือนห้อยพระ เป็นแค่ความเชื่อ สุดท้ายเกิดอะไรขึ้นพระก็ช่วยไม่ได้

เรื่อง Security เป็นเรื่องใหญ่ ที่ควรศึกษา ไม่ใช่อาศัยความเชื่อแค่ htaccess ป้องกัน

.htaccess ที่ให้มานี้ ไม่ได้ป้องกันแฮก เพียงแต่จัดระเบียบแบบคร่าวๆ ให้การเชื่อมต่อไปแบบน่าสงสัยใช้งานไม่ได้เฉยๆ
ซึ่งเอาจริงๆแล้ว แฮกเกอร์ มักมาในช่องทางปรกติได้เหมือนกันครับ

ผมจะอธิบายไว้เป็นวิทยาทาน

อ้างถึง
# Block suspicious request methods
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อคการเชื่อมต่อ Method แบบแปลกๆ ซึ่งจริงๆการเชื่อมต่อปรกติจะมีแค่ GET กับ POST ดังนั้นพวก HEAD,TRACE,DELETE,TARCK,DEBUG   จะไม่สามารถใช้งานได้
แต่!!! ใครเขาก็แฮกผ่าน GET , POST ทั้งนั้นแหละครับ


อ้างถึง
# Block WP timthumb hack
RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
RewriteRule . - [S=1]
ป้องกัน WP timthumb hack สำหรับ Wordpress เท่านั้น เว็ปทั่วไปจะป้องกันทำไม ถ้าไม่ได้ใช้ Wordpress
และเวอร์ชั่นล่าสุด ก็ใช้ช่องโหว่นี้ไม่ได้แล้วด้วย


อ้างถึง
# Block suspicious user agents and requests
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]
บล็อกการเข้าใช้งานผ่านโปรแกรมอื่นๆ ที่ไม่ใช่เบราเซอร์  เช่น ถ้าใช้ JAVA ยิงมาก็จะใช้งานไม่ได้ แต่ถ้าใช้ IE เล่นก็จะใช้งานได้ตามปรกติ
แต่!!!!! User Agent มันปลอมกันได้ครับ ผมจะเขียน JAVA แล้วปลอมตัวเป็น IE , Chome , Firefox ก็ได้ทั้งนั้นแหละ
แล้วผมก็แฮกได้ตามปรกติ


อ้างถึง
# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อค SQL Injection สำหรับ Query String หรือแบบ GET เท่านั้น
แต่ ถ้าผมส่งแบบ POST ก็ผ่านฉลุย  ไฟล์ .htaccess มันไปยุ่ง Package Bodyไม่ได้ครับ มันยุ่งได้แค่ URL มันจึงดักได้แค่ Query String


ยังไม่รวมถึงการแฮกโดยผ่านช่องทางอื่น ที่ไม่ใช่ HTTP อีกนะครับ

ที่สำคัญคือ เรื่องพวกนี้ มั่วไม่ได้นะครับ   คิดว่าใช้แล้วปลอดภัย ก็ทำไป แต่ถ้ามันเป็นแค่ความเชื่อ เราเชื่อของเราคนเดียวว่าปลอดภัย อุ่นใจตัวเอง
แต่ Hacker มันยืนอยู่บนความเป็นจริง ไม่ใช่ความเชื่อครับ
ได้ความรู้ ขอบคุณครับผม

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: fingerscan ที่ 31 มีนาคม 2014, 22:35:24
ขอบคุณครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: ktppro ที่ 01 เมษายน 2014, 03:03:28
ขอบคุณครับ    :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: sys2528 ที่ 01 เมษายน 2014, 09:13:41
ความรู้เยอะแยะครับ ขอบคุณครับ  :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: palika ที่ 01 เมษายน 2014, 09:15:11
ขอบคุณครับ

 :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: perasak ที่ 01 เมษายน 2014, 10:02:15
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 21:40:51
อ้างจาก: CreePer ที่ 17 มีนาคม 2014, 19:01:10
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ
ทำไมจะไม่ได้ผมลองมาแล้วครับทางบริษัท Gameindy ก็ใช้อยุ่ ผมเป็น BlackHat PCT รองมาหมดแบ้วว *-*

ถ้าจะเถียง อย่าอ้างอิงบริษัทอื่นครับ เอาชื่อบริษัทมาไม่ช่วยอะไร
ไหนคุณลองอธิบายสิว่า การ Reqwite URL ป้องกัน SQL Injection ได้ยังไง
อย่าบอกว่าตัวเองเป็น Blackhat ถ้าคุณยังอธิบายแบบละเอียดไม่ได้ว่า .htaccess ที่ให้มานั้น ทำหน้าที่อย่างไร
บอกว่าตัวเองเป็น Blackhat เขียนโปรแกรมภาษาอะไรได้บ้างครับ


ที่สำคัญคือ คนแจก ไม่น่าเอาเรื่องพวกนี้มาล้อเล่นถ้าไม่รู้จริง พาลจะทำให้คนคิดว่ามันป้องกันได้จริงๆ
สุดท้ายก็เหมือนห้อยพระ เป็นแค่ความเชื่อ สุดท้ายเกิดอะไรขึ้นพระก็ช่วยไม่ได้

เรื่อง Security เป็นเรื่องใหญ่ ที่ควรศึกษา ไม่ใช่อาศัยความเชื่อแค่ htaccess ป้องกัน

.htaccess ที่ให้มานี้ ไม่ได้ป้องกันแฮก เพียงแต่จัดระเบียบแบบคร่าวๆ ให้การเชื่อมต่อไปแบบน่าสงสัยใช้งานไม่ได้เฉยๆ
ซึ่งเอาจริงๆแล้ว แฮกเกอร์ มักมาในช่องทางปรกติได้เหมือนกันครับ

ผมจะอธิบายไว้เป็นวิทยาทาน

อ้างถึง
# Block suspicious request methods
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อคการเชื่อมต่อ Method แบบแปลกๆ ซึ่งจริงๆการเชื่อมต่อปรกติจะมีแค่ GET กับ POST ดังนั้นพวก HEAD,TRACE,DELETE,TARCK,DEBUG   จะไม่สามารถใช้งานได้
แต่!!! ใครเขาก็แฮกผ่าน GET , POST ทั้งนั้นแหละครับ


อ้างถึง
# Block WP timthumb hack
RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
RewriteRule . - [S=1]
ป้องกัน WP timthumb hack สำหรับ Wordpress เท่านั้น เว็ปทั่วไปจะป้องกันทำไม ถ้าไม่ได้ใช้ Wordpress
และเวอร์ชั่นล่าสุด ก็ใช้ช่องโหว่นี้ไม่ได้แล้วด้วย


อ้างถึง
# Block suspicious user agents and requests
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]
บล็อกการเข้าใช้งานผ่านโปรแกรมอื่นๆ ที่ไม่ใช่เบราเซอร์  เช่น ถ้าใช้ JAVA ยิงมาก็จะใช้งานไม่ได้ แต่ถ้าใช้ IE เล่นก็จะใช้งานได้ตามปรกติ
แต่!!!!! User Agent มันปลอมกันได้ครับ ผมจะเขียน JAVA แล้วปลอมตัวเป็น IE , Chome , Firefox ก็ได้ทั้งนั้นแหละ
แล้วผมก็แฮกได้ตามปรกติ


อ้างถึง
# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อค SQL Injection สำหรับ Query String หรือแบบ GET เท่านั้น
แต่ ถ้าผมส่งแบบ POST ก็ผ่านฉลุย  ไฟล์ .htaccess มันไปยุ่ง Package Bodyไม่ได้ครับ มันยุ่งได้แค่ URL มันจึงดักได้แค่ Query String


ยังไม่รวมถึงการแฮกโดยผ่านช่องทางอื่น ที่ไม่ใช่ HTTP อีกนะครับ

ที่สำคัญคือ เรื่องพวกนี้ มั่วไม่ได้นะครับ   คิดว่าใช้แล้วปลอดภัย ก็ทำไป แต่ถ้ามันเป็นแค่ความเชื่อ เราเชื่อของเราคนเดียวว่าปลอดภัย อุ่นใจตัวเอง
แต่ Hacker มันยืนอยู่บนความเป็นจริง ไม่ใช่ความเชื่อครับ

ขอบคุณสำหรับเจ้าของกระทู้ และขอบคุณสำหรับคำอธิบายครับ คงเป็นประโยชน์สำหรับเพื่อน ๆ สมาชิก

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: KaPong_Inter ที่ 01 เมษายน 2014, 10:36:40
ยังไง ก็ ขอบคุณฮะ เข้ามาเก็บสาระ ด้วยฮะ  :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: tatam1980 ที่ 01 เมษายน 2014, 11:03:28
ขอบคุณครับ ความรู้ดีๆทั้งนั้นเลย

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: sai555 ที่ 01 เมษายน 2014, 11:16:45
ขอบคุณครับ  :wanwan017:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: kakato ที่ 01 เมษายน 2014, 11:19:24
ตามมาเก็บ ขอบคุณมากครับ

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: ifeelingz ที่ 01 เมษายน 2014, 11:24:55
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 21:40:51
อ้างจาก: CreePer ที่ 17 มีนาคม 2014, 19:01:10
อ้างจาก: cracky ที่ 17 มีนาคม 2014, 18:00:23
ไฟล์มันกันแฮกไม่ได้หรอกครับ
ไม่อยากใครฝากความหวังกับ htaccess

ไฟล์นี้กันช่องโหว่ง่ายๆอย่าง
sql injection ยังไม่ได้เลยด้วยซ้ำ
ทำไมจะไม่ได้ผมลองมาแล้วครับทางบริษัท Gameindy ก็ใช้อยุ่ ผมเป็น BlackHat PCT รองมาหมดแบ้วว *-*

ถ้าจะเถียง อย่าอ้างอิงบริษัทอื่นครับ เอาชื่อบริษัทมาไม่ช่วยอะไร
ไหนคุณลองอธิบายสิว่า การ Reqwite URL ป้องกัน SQL Injection ได้ยังไง
อย่าบอกว่าตัวเองเป็น Blackhat ถ้าคุณยังอธิบายแบบละเอียดไม่ได้ว่า .htaccess ที่ให้มานั้น ทำหน้าที่อย่างไร
บอกว่าตัวเองเป็น Blackhat เขียนโปรแกรมภาษาอะไรได้บ้างครับ


ที่สำคัญคือ คนแจก ไม่น่าเอาเรื่องพวกนี้มาล้อเล่นถ้าไม่รู้จริง พาลจะทำให้คนคิดว่ามันป้องกันได้จริงๆ
สุดท้ายก็เหมือนห้อยพระ เป็นแค่ความเชื่อ สุดท้ายเกิดอะไรขึ้นพระก็ช่วยไม่ได้

เรื่อง Security เป็นเรื่องใหญ่ ที่ควรศึกษา ไม่ใช่อาศัยความเชื่อแค่ htaccess ป้องกัน

.htaccess ที่ให้มานี้ ไม่ได้ป้องกันแฮก เพียงแต่จัดระเบียบแบบคร่าวๆ ให้การเชื่อมต่อไปแบบน่าสงสัยใช้งานไม่ได้เฉยๆ
ซึ่งเอาจริงๆแล้ว แฮกเกอร์ มักมาในช่องทางปรกติได้เหมือนกันครับ

ผมจะอธิบายไว้เป็นวิทยาทาน

อ้างถึง
# Block suspicious request methods
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อคการเชื่อมต่อ Method แบบแปลกๆ ซึ่งจริงๆการเชื่อมต่อปรกติจะมีแค่ GET กับ POST ดังนั้นพวก HEAD,TRACE,DELETE,TARCK,DEBUG   จะไม่สามารถใช้งานได้
แต่!!! ใครเขาก็แฮกผ่าน GET , POST ทั้งนั้นแหละครับ


อ้างถึง
# Block WP timthumb hack
RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
RewriteRule . - [S=1]
ป้องกัน WP timthumb hack สำหรับ Wordpress เท่านั้น เว็ปทั่วไปจะป้องกันทำไม ถ้าไม่ได้ใช้ Wordpress
และเวอร์ชั่นล่าสุด ก็ใช้ช่องโหว่นี้ไม่ได้แล้วด้วย


อ้างถึง
# Block suspicious user agents and requests
RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]
RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]
บล็อกการเข้าใช้งานผ่านโปรแกรมอื่นๆ ที่ไม่ใช่เบราเซอร์  เช่น ถ้าใช้ JAVA ยิงมาก็จะใช้งานไม่ได้ แต่ถ้าใช้ IE เล่นก็จะใช้งานได้ตามปรกติ
แต่!!!!! User Agent มันปลอมกันได้ครับ ผมจะเขียน JAVA แล้วปลอมตัวเป็น IE , Chome , Firefox ก็ได้ทั้งนั้นแหละ
แล้วผมก็แฮกได้ตามปรกติ


อ้างถึง
# Block MySQL injections, RFI, base64, etc.
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
RewriteRule ^(.*)$ - [F,L]
บล็อค SQL Injection สำหรับ Query String หรือแบบ GET เท่านั้น
แต่ ถ้าผมส่งแบบ POST ก็ผ่านฉลุย  ไฟล์ .htaccess มันไปยุ่ง Package Bodyไม่ได้ครับ มันยุ่งได้แค่ URL มันจึงดักได้แค่ Query String


ยังไม่รวมถึงการแฮกโดยผ่านช่องทางอื่น ที่ไม่ใช่ HTTP อีกนะครับ

ที่สำคัญคือ เรื่องพวกนี้ มั่วไม่ได้นะครับ   คิดว่าใช้แล้วปลอดภัย ก็ทำไป แต่ถ้ามันเป็นแค่ความเชื่อ เราเชื่อของเราคนเดียวว่าปลอดภัย อุ่นใจตัวเอง
แต่ Hacker มันยืนอยู่บนความเป็นจริง ไม่ใช่ความเชื่อครับ

+1  :wanwan003:

หัวข้อ: Re: แจก .htaccess ป้องกันการแฮกเว็บไซต์
เริ่มหัวข้อโดย: dualkore ที่ 01 เมษายน 2014, 12:05:40
ขอบคุณครับผม  :wanwan017:


SMF 1.1.21 | Simple Machines | ThaiSEOBoard.com