Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Вопрос про merge_slashes

To: nginx-ru@xxxxxxxxx
Subject: Re: Вопрос про merge_slashes
From: Maxim Dounin <mdounin@xxxxxxxxxx>
Date: Fri, 25 Apr 2014 15:55:53 +0400
In-reply-to: <87646798.20140425153734@softsearch.ru>
References: <87646798.20140425153734@softsearch.ru>

Hello!

On Fri, Apr 25, 2014 at 03:37:34PM +0400, Михаил Монашёв wrote:

> Здравствуйте.
> 
> В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes
> написано "Однако из соображений безопасности лучше избегать отключения 
> преобразования."
> 
> Что именно небезопасного может произойти при    merge_slashes off;
> 
> Поясню проблему. Сайт сильно спамят. Я настроил правило, которое
> смотрит лог и если происходит более Х обращений вроде
> POST /p/add_topic.cgi HTTP/1.1
> то ip считается подозрительным. Спамер это просёк и сейчас шлёт
> запросы вот такие:
> POST //p/add_topic.cgi HTTP/1.1"
> 
> Я могу свою парсилку логов поправить, но и с директивой хотелось бы
> понять проблему.

Если отключить merge_slashes, то ограничения вида

    location /p/ { allow 127.0.0.1; deny all; ... }

точно так же легко обходятся добавлением лишнего слеша.

-- 
Maxim Dounin
http://nginx.org/

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

References:
- Вопрос про merge_slashes
  - From: Михаил Монашёв

Prev by Date: Re: логирование по UDP
Next by Date: Re: Вопрос про merge_slashes
Previous by thread: Вопрос про merge_slashes
Next by thread: Re: Вопрос про merge_slashes
Index(es):
- Date
- Thread