Evitar inyeccion SQL,XSS,..

laudrup · #1 (**permalink**) 21/07/2010, 05:19

Hola
Estoy intentando en el ".htaccess" de mi web el siguiente código que he encontrado en un post de hace tiempo de este mismo foro,para evitar inyecciones SQL,XSS,,,

Código:

## tomamamos pagina errores , redirigimos a una pagina especial desarrollada por nosotros.
ErrorDocument 401 /error401.html
ErrorDocument 403 /error403.html
ErrorDocument 404 /error404.html
 
 
RewriteEngine On
 
Options +FollowSymLinks
# Evitar escaneos y cualquier intento de manipulación malintencionada
# de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc)
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(-|.|') [OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]
 
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]
 
RewriteRule ^(.*)$ error.php [NC]
## No permitir acceso al .htaccess
order allow,deny
deny from all
 
## Evitar que se liste el contenido de los directorios
Options All -Indexes
 
## Lo mismo que lo anterior
IndexIgnore *
 
## Denegar el acceso a robots dañinos, browsers offline, etc
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR]
RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR]
RewriteCond %{HTTP_USER_AGENT} ^attach [OR]
RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus
##redireccionar a los robots a otra web
RewriteRule ^.*$ http://www.otraweb.com [R,L]
 
# Protegerse contra los ataques DOS limitando el tamaño de subida de archivos
LimitRequestBody 10240000

Una vez añadido,cuando quiero cargar la página me aparece por pantalla un
SERVER ERROR Error 500
El servidor encontro un error interno y fue imposible completar su solicitud

A que puede ser debido este error?como puedo arreglarlo?

laudrup · #2 (**permalink**) 21/07/2010, 06:19

he modificado el httpd.conf de Apache descomentando la linea

LoadModule rewrite_module modules/mod_rewrite.so

he reiniciado el apache,y ahora el error que me sale es

Forbidden
You don't have permission to access /index.php on this server.

Hidek1 · #3 (**permalink**) 21/07/2010, 07:13

esto no tiene nada que ver con php.. postea en el foro correcto para que recibas la ayuda que necesitas..
saludos!

DaronWolff · #4 (**permalink**) 12/03/2011, 10:41

Se que este tema es antiguo y no debería estar en esta categoría
pero tuve el mismo problema y le di solución de la siguiente manera

tienes que des comentar la linea dentro del httpd.conf
rewrite_module modules/mod_rewrite.so

Al igual que comenté las lineas dentro del .htaccess

##order allow,deny
##deny from all

Reinicias tu server y ya queda.