我有一个托管多个不同站点的网络服务器。有些供外部客户使用,有些仅供内部使用。对于内部站点,我有一个 .htaccess 文件,它拒绝所有 IP 地址,但允许任何以 10.25.x.x 开头的 IP 地址。
IndexIgnore *
deny from all
allow from 10.25.
这意味着只有我们本地网络的 PC 才能访问服务器。即使客户的计算机上的本地 IP 地址为 10.25.x.x,我的网络服务器也应该只能看到他们的公共(public) IP,对吗?
我没有将文件上传到此目录的表单,因此它们不应覆盖 .htaccess 文件。
我的问题是:攻击者有什么办法可以绕过这些安全方法?如果是这样,我可以采取哪些预防措施来确保不会发生这种情况?
最佳答案
我认为 Sébastien Renauld 的回答表明,IP 黑/白列表对于保护您的网站并不完美。您的应用程序应该已经足够安全,可用于公共(public)可访问的部署。无论如何,IP 限制确实有助于限制应用程序上的攻击向量。
请记住,IP 欺骗在技术上是可行的,但很难执行。
从网络外部,黑客必须至少绕过以下障碍。
攻击者需要绕过的障碍比我刚才总结的要多得多,比如阻止本地合法客户端不干扰攻击。 (想一想对被欺骗的服务器 IP 地址的响应会去哪里,以及被冒充的客户端会做什么。)
欺骗 IP 地址的更简单方法是从网络本身内部进行。好吧,如果这已经成为可能,那么您可能还有其他一些事情要先研究 :)
我希望您会看到,如今黑客执行这种攻击实际上是不可行的。安全性是所需努力和攻击者获得的满意度之间的平衡。
因此,我会说 IP 白名单,在 Sébastien Renauld 建议的本地网络绑定(bind)旁边,是一种足够好的安全实践。您仍然需要假设攻击者可以访问您的内部网络,因此还应该检查您的网站和服务器本身的安全性。
关于apache - 阻止 .htaccess 中的 IP 地址有多安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16824286/