miércoles, 28 de julio de 2010

Protegerse y evitar ataques DoS, SQL injection, XSS, Robots malignos, etc

Todos hemos tenido la preocupación de que nuestra web no sea segura y necesitamos una manera de comprobarlo. Con este artículo veremos una forma eficaz de evitar ataques DoS, inyecciones de SQL, XSS, Robots malignos, evitar que se listen los directorios de la web, etc.

Todo lo que tenemos que hacer es editar nuestro archivo .htaccess e incluir estas lineas:
1. ## Seguridad extra para PHP
2. php_flag safe_mode on
3. php_flag expose_php off
4. php_flag display_errors off
5.
6. ## Manejo de errores de Apache. Cuando se produzca uno de estos errores, redirigimos a una pagina especial desarrollada por nosotros.
7. ErrorDocument 401 /error401.html
8. ErrorDocument 403 /error403.html
9. ErrorDocument 404 /error404.html
10.
11.
12. RewriteEngine On
13.
14. Options +FollowSymLinks
15. # Evitar escaneos y cualquier intento de manipulación malintencionada
16. # de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc)
17. RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
18. RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR]
19. RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
20. RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
21. RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]
22.
23. RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
24. RewriteCond %{HTTP_REFERER} ^(.*)(|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
25. RewriteCond %{QUERY_STRING} ^(.*)(|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]
26. RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
27. RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]
28.
29. RewriteRule ^(.*)$ error.php [NC]
30. ## No permitir acceso al .htaccess
31. order allow,deny
32. deny from all
33.
34. ## Evitar que se liste el contenido de los directorios
35. Options All -Indexes
36.
37. ## Lo mismo que lo anterior
38. IndexIgnore *
39.
40. ## Denegar el acceso a robots dañinos, browsers offline, etc
41. RewriteBase /
42. RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR]
43. RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR]
44. RewriteCond %{HTTP_USER_AGENT} ^attach [OR]
45. RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR]
46. RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
47. RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR]
48. RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR]
49. RewriteCond %{HTTP_USER_AGENT} ^Zeus
50. ##redireccionar a los robots a otra web
51. RewriteRule ^.*$ http://www.otraweb.com [R,L]
52.
53. # Protegerse contra los ataques DOS limitando el tamaño de subida de archivos
54. LimitRequestBody 10240000

Ante todo tambien debemos de tomar medidas de seguridad en nuestra web, limitando el acceso a nuestros archivos ftp, solo a un administrador, y protegiendonos de la mas temida vulnerabilidad de la que casi nada se puede hacer y que pocos conocen, llamada LFI (Local File Inclusion).

Related Posts:

  • Enviar a otra pagina en swf incrustado con swfobject.js Pasa que a veces queremos que nuestro flash puesto con swfobject de google al hacer clic en el, nos envié a por ejemplo el index del site. <script src="http://ajax.googleapis.com/ajax/libs/jquery/1.9.1/jquery.m… Read More
  • Parámetros en .htaccess .htaccess (Acceso de Hiper-Texto) es un archivo de texto que Apache usa para crear reglas sobre los directorios y los archivos. Tiene múltiples funciones y en lo personal me parece una herramienta sumamente … Read More
  • Obtener los videos de Youtube con PHP Nos pasa que tenemos que mostrar los videos de un canal de Youtube y tener un script a la mano es lo mejor que nos puede pasar. Para esto usaremos la funcion curl pero ligeramente modificada para nuestro propósito. f… Read More
  • scrollTop no funciona en IOS (Solución) En el trabajo haciendo responsivo el sitio web de Trilce todo iba bien, hasta que al testearlo en un Ipad Mini me topé con un problema, y es que scrollTop no funciona en dispositivos móviles de Apple Se apreciaba un efecto… Read More
  • Como hacer Google Maps responsivo con Javascript Utiliza el siguiente código JavaScript antes de cerrar la etiqueta head en su archivo HTML. function initialize() { var mapOptions = { zoom: 9, center: new google.maps.LatLng(28.9285745, 77.0914935… Read More

0 comentarios:

Publicar un comentario