HtAccess Xss,Rfi ve Sql -i Engelleme / SecuredEmrah

[SecuredEmrah]

HtAccess Xss,Rfi ve Sql -i Engelleme / SecuredEmrah

Sql -i Engelleme :

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|<|>|/{2,999}).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email| harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR] 
RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{QUERY_STRING} [^a-z](declare|char|set|cast|convert|delete|drop|exec|in sert|****|script|select|truncate|update)[^a-z] [NC]
RewriteRule (.*) - [F]

Xss Engelleme :

RewriteEngine On
 RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
 RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
 RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
 RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
 RewriteRule ^(.*)$ index.php [F,L]

Rfi Engelleme :

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} ^.*=(ht)|(f)+(tp)+(://|s://)+.*(\?\?)+ 
RewriteRule .* [url]http://your-trap.com/php-trap-script.php[/url] [R,L]

Hacklenmemeniz Dileğiyle / SecuredEmrah

 

[co admir]

<?php
$THT = htmlspecialchars ( $_POST['THT']);
echo '<br><center><div id="arka">';
echo '<font size="4"> Turkhackteam.org / Co admir. </font><br><br>';
echo $THT.'<br>';
echo $THT.'<br>';
echo '</div></center>';
?>

</body>
</html>

bu kod sayesinde xss ve sql açık kalmıyor

 

[SecuredEmrah]

<?php
$THT = htmlspecialchars ( $_POST['THT']);
echo '<br><center><div id="arka">';
echo '<font size="4"> Turkhackteam.org / Co admir. </font><br><br>';
echo $THT.'<br>';
echo $THT.'<br>';
echo '</div></center>';
?>

</body>
</html>

bu kod sayesinde hiç bir açık kalmıyor

htmlspecialchars komutu veri içindeki html kodlarını çalışıtırmaz direk yansıtır Xss açığı kapatılabilir fakat Sql -i için aynı şeyi söyleyemem.Bu arada bu komutları .htaccess dosyasına ekleyen arkadaşlar açık kalmadı zannetmesin açık bulunur fakat kullanılamaz.
Teşekkürler

 

[co admir]

htmlspecialchars komutu veri içindeki html kodlarını çalışıtırmaz direk yansıtır Xss açığı kapatılabilir fakat Sql -i için aynı şeyi söyleyemem.Bu arada bu komutları .htaccess dosyasına ekleyen arkadaşlar açık kalmadı zannetmesin açık bulunur fakat kullanılamaz.
Teşekkürler

Kardeşim bu kod sayesinde sql açığıda kapatılıyor

 

[SecuredEmrah]

Kardeşim bu kod sayesinde sql açığıda kapatılıyor

PHP: htmlspecialchars - Manual