вариантов много с коробки конфигами: Для Nginx, можно использовать директивы в конфигурационном файле nginx.conf, чтобы ограничить количество запросов от одного клиента:
• Rate Limiting: Ограничение скорости запросов от одного IP-адреса. Это можно сделать с помощью модуля ngx_http_limit_req_module. Пример конфигурации:
Это ограничит частоту запросов до 1 запроса в секунду с одним всплеском до 5 запросов.
• Deny Access: Запрещать доступ к определённым файлам или директориям, используя директиву deny. Пример:
location /secret-folder/ { deny all; }
Для Apache можно использовать .htaccess файл или конфигурационный файл сервера для реализации аналогичных мер:
• LimitRequestBody: Ограничение размера тела запроса, чтобы предотвратить атаки через длинные или сложные запросы. Пример: <Directory "/var/www/html"> LimitRequestBody 1048576 </Directory>
• ModSecurity: Модуль Web Application Firewall (WAF) для защиты от атак, включая перебор файлов и директорий.
• mod_evasive: Модуль, который помогает предотвращать DoS и DDoS атаки, а также перебор. • IP Blocking: Блокировка подозрительных IP-адресов, которые совершают большое количество запросов за короткий промежуток времени.
1. Возврат 200 для несуществующих файлов и директорий
Можно использовать try_files с директивой =200, чтобы сервер всегда возвращал статус 200, даже если файл или директория не существует.
В Apache можно использовать модуль mod_rewrite для перехвата всех запросов и принудительного возврата статус-кода 200.
2. Блокировка IP при обнаружении словарных атак
Чтобы блокировать IP-адреса, можно использовать лимитирование запросов, как было описано ранее. Однако для блокировки можно использовать дополнительный модуль ngx_http_limit_conn_module и директиву deny
В Apache можно использовать модуль mod_evasive, чтобы заблокировать IP-адреса, которые делают слишком много запросов за короткий промежуток времени.
Еще раз хочу выразить большую благодарность организаторам мероприятия и всей нашей команде, в том числе Nitro Team за очень классно проведенное время, за опыт и за интересные таски. Готовлю статью о The Standoff 2021, так что ждите...
Автору респект за интересную и редкую статью. Такого на просторах интернета не найдешь, хотя информации подобной и о других крупных компаниях навалом у каждого, но все боятся и держат ее при себе.
Скаду нашел смотрю, но не акцентировал внимания на ней, что зря, на каждом PHDays этот вопрос поднимается оргами PT. Риски воистину огромны при ее эксплуатации.
погонам и криворуким халатно относящимся к ИБ админам — не трогайте парня, он за халяву провел аудит внешки просто вдохновившись статьей предшественника и грубость слов и халатность администрации РЖД к ситуации!
Жаль, что в России и других странах СНГ, таких парней пытаются наказать, а не отблагодарить, за то, что они показали реальные проблемы и тем самым предовратили реальные катастрофы. Просто наверняка РЖД проводила аудиты ИБ и пентесты, что думаю можно поискать в тендерных площадках, но увы «все ушло в закат». Еще больше печалит, что такие мастодонты в таком запущении и ничего не предпринимают сами для улучшения ситуации в целом в стране, так же органы гоняются за одиночками, вместо того, чтобы дрючить такие компании за безобразие и халатность.
! Это напоминает случаи на дороге, когда мой знакомый стоя в пробке и увидев, что рядом стоящий автомобиль воспламенился — сказал об этом хозяину, даже не чувствующему запаха гари из под капота, и потушил его собственным огнетушителем и еще был обласкан и даже поступали угрозы привлечения за поджег т.к. хозяин машины четко был уверен, что быть такого не может и это автоподстава т.к. якобы у нормального автолюбителя огнетушителя нет. Просто смешно и страшно среди кого мы живем.
Конечно скажите осуждающие — почему не обратился напрямую, почему в органы надзорные анонимку не кинул? Скажу от себя — это бесполезно, больше десятка таких обращений и ни одного ответа, кроме угроз и упреков, вот и вынуждены ребята обращаться к общественности.
И да есть у этого всего большой минус, после таких статей «школота» полезет проверять догадки автора и вот это самое ужасное.
Очень надеюсь, что автора не «накажут» и начнут присматриваться к замечаниям, а в будущем сделают гос программу поддержки или даже РосБагБаунти.
вариантов много с коробки конфигами:
Для Nginx, можно использовать директивы в конфигурационном файле nginx.conf, чтобы ограничить количество запросов от одного клиента:
• Rate Limiting: Ограничение скорости запросов от одного IP-адреса. Это можно сделать с помощью модуля ngx_http_limit_req_module. Пример конфигурации:
Это ограничит частоту запросов до 1 запроса в секунду с одним всплеском до 5 запросов.
• Deny Access: Запрещать доступ к определённым файлам или директориям, используя директиву deny. Пример:
location /secret-folder/ {deny all;
}
Для Apache можно использовать .htaccess файл или конфигурационный файл сервера для реализации аналогичных мер:
• LimitRequestBody: Ограничение размера тела запроса, чтобы предотвратить атаки через длинные или сложные запросы. Пример:
<Directory "/var/www/html">LimitRequestBody 1048576
</Directory>
• ModSecurity: Модуль Web Application Firewall (WAF) для защиты от атак, включая перебор файлов и директорий.
• mod_evasive: Модуль, который помогает предотвращать DoS и DDoS атаки, а также перебор.
• IP Blocking: Блокировка подозрительных IP-адресов, которые совершают большое количество запросов за короткий промежуток времени.
1. Возврат 200 для несуществующих файлов и директорий
Можно использовать try_files с директивой =200, чтобы сервер всегда возвращал статус 200, даже если файл или директория не существует.
В Apache можно использовать модуль mod_rewrite для перехвата всех запросов и принудительного возврата статус-кода 200.
2. Блокировка IP при обнаружении словарных атак
Чтобы блокировать IP-адреса, можно использовать лимитирование запросов, как было описано ранее. Однако для блокировки можно использовать дополнительный модуль ngx_http_limit_conn_module и директиву deny
В Apache можно использовать модуль mod_evasive, чтобы заблокировать IP-адреса, которые делают слишком много запросов за короткий промежуток времени.
Спасибо за отзыв, тем более за инструмент. Обязательно попробуем, долго искали аналоги, все оказались непригодны.
Еще раз хочу выразить большую благодарность организаторам мероприятия и всей нашей команде, в том числе Nitro Team за очень классно проведенное время, за опыт и за интересные таски.
Готовлю статью о The Standoff 2021, так что ждите...
Скаду нашел смотрю, но не акцентировал внимания на ней, что зря, на каждом PHDays этот вопрос поднимается оргами PT. Риски воистину огромны при ее эксплуатации.
погонам и криворуким халатно относящимся к ИБ админам — не трогайте парня, он за халяву провел аудит внешки просто вдохновившись статьей предшественника и грубость слов и халатность администрации РЖД к ситуации!
Жаль, что в России и других странах СНГ, таких парней пытаются наказать, а не отблагодарить, за то, что они показали реальные проблемы и тем самым предовратили реальные катастрофы. Просто наверняка РЖД проводила аудиты ИБ и пентесты, что думаю можно поискать в тендерных площадках, но увы «все ушло в закат». Еще больше печалит, что такие мастодонты в таком запущении и ничего не предпринимают сами для улучшения ситуации в целом в стране, так же органы гоняются за одиночками, вместо того, чтобы дрючить такие компании за безобразие и халатность.
! Это напоминает случаи на дороге, когда мой знакомый стоя в пробке и увидев, что рядом стоящий автомобиль воспламенился — сказал об этом хозяину, даже не чувствующему запаха гари из под капота, и потушил его собственным огнетушителем и еще был обласкан и даже поступали угрозы привлечения за поджег т.к. хозяин машины четко был уверен, что быть такого не может и это автоподстава т.к. якобы у нормального автолюбителя огнетушителя нет. Просто смешно и страшно среди кого мы живем.
Конечно скажите осуждающие — почему не обратился напрямую, почему в органы надзорные анонимку не кинул? Скажу от себя — это бесполезно, больше десятка таких обращений и ни одного ответа, кроме угроз и упреков, вот и вынуждены ребята обращаться к общественности.
И да есть у этого всего большой минус, после таких статей «школота» полезет проверять догадки автора и вот это самое ужасное.
Очень надеюсь, что автора не «накажут» и начнут присматриваться к замечаниям, а в будущем сделают гос программу поддержки или даже РосБагБаунти.