拒绝访问:我的姓氏正在作为php命令读入
|
所以几个月前我开始遇到这个问题,当我试图访问某些网站时,我会随机获得访问被拒绝页面.起初我并没有多想它,只是继续我的生活.快进到现在.我试图注册March Madness括号并被阻止.我无法在Kohls或其他在线购物网站上查看.我不能得到灰狗或amtrack门票.我无法访问我的银行帐户.从本质上讲,它变得更加不方便.
在尝试随机的事情之后,我尝试用不同的方式拼写我的姓(Fread).我放入了Frea,最后没有“d”.可悲的是,事情会再次奏效.在与一些朋友交谈后,他们帮助我排除故障,我们了解到Fread是一个php命令,我们意识到如果我们输入其他php命令,即fwrite,我们也会得到一个访问被拒绝的页面. 问题解决了,除非没有.我不知道如何解决这个问题.我甚至不知道与谁阻止我交谈或联系.我的银行已经在这个问题上工作了2个月,并且在2周内没有更新我正在做的事情来解决这个问题. 不幸的是,我不能使用带有错误姓氏的信用卡,但仍然无法登录我的银行帐户,因为fread是我用户名的一部分.我将不胜感激任何有助于我重新获得在这些网站上使用我的姓氏的能力的反馈! 我该联系谁?如何让人们足够的关心来解决它?为什么?想帮忙吗? 这样每个人都可以看到我不是在撒谎,这里有一个示例网站.本演练将链接到footlocker网站以创建帐户.在那里,你必须输入的所有内容都是Fread in last name字段并点击提交.巴姆!拒绝访问.返回并将其更改为Fwrite并点击提交.巴姆!拒绝访问.来吧,现在把你的名字,或任何非PHP命令.现在它工作,没有拒绝访问. >转到:https://www.footlocker.com/account/?action=accountCreate 请帮忙! *****注意:我在不同的IP地址,不同的计算机,不同的操作系统上试过这个,让我的朋友在不同的城镇尝试,错误发生在任何地方.我的家人也有同样的姓氏. 解决方法
完全披露:我是为Fread女士测试并验证此错误的人之一.
鉴于这个问题突然出现以及问题的普遍程度,显然不仅仅是一两家公司的疏忽开发者,而且显然不仅仅是旧网站.如果美国国税局,您的银行,Amtrak,Greyhound,Footlocker和其他主要公司都在大致相同的时间开始失败,那么它必须与更新的共享代码相关,这很难追查.然而… 我抓到了这个虫子! 出乎意料的是,我在进行一些有趣的Web开发时遇到了同样的错误.我试图POST字符串“测试事件;描述将在这里”,并收到403错误.经过一些毛发撕裂和反复试验,结果证明分号是罪魁祸首,一旦删除它,POST就会起作用. 显然,并非每个分号都是对服务器的威胁,所以我发现这个规则不仅仅是一点点愚蠢.那时我对这个问题慢慢记忆犹新,所以我尝试在末尾用“fread”提交相同的字符串(减去分号).瞧,403回来了. 跨站点脚本(XSS) 在安全性较差的网站上,黑客可以将代码注入输入字段,以便服务器运行代码而不是存储数据.这称为跨站点脚本或XSS.当然,网站管理员和网站开发人员希望防止这种情况发生. 在这种情况下,似乎服务器看到的东西看起来像一个命令(这使得它怀疑是XSS尝试)并惊慌失措.在我的例子中,它看到了一个分号,它是一个命令终止符.在你的,它看到了它认为是文件读取命令.在这两种情况下,服务器都认定我们是“威胁”并选择拒绝我们通过403错误访问我们请求的资源. ModSecurity的 罪魁祸首似乎是ModSecurity,一个用于Apache和其他Web服务器的模块,其中包括许多其他东西,用于屏蔽可疑XSS攻击的POST输入.当我在我的网站上禁用它时,我能够发布我想要的任何内容,因为(我觉得)我应该. ModSecurity在2016年3月9日是updated to version 2.9.1,之前相对稳定的发布候选版本可能在狭窄的使用中,因此时机成熟.它现在已经广泛使用,因此Amtrak / Greyhound / Footlocker可能都使用这个模块,考虑到问题的相似性和时间安排. 结论: 好消息:我90%肯定它是ModSecurity,它们可能是这个问题的最佳单点联系人.您可以考虑将问题发布到他们的GitHub页面,或直接联系开发人员或两个问题. 坏消息:他们可能仍然认为你是一个边缘案件.此外,如果/当ModSecurity发布更新时,实际的最终产品修复可能会归结为各个站点的管理员决定更新他们的东西.但它仍然值得以开发团队作为起点. 祝好运!! (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |