タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
みなさん、こんにちは。m(@the_art_of_nerd)です。 今回は私がWebサーバーをフォレンジック調査を担当した際に発見した、任意の拡張子からPHPを実行する方法について紹介します。 背景 Webサーバーが攻撃者によって侵害されたという事案で、フォレンジック調査を実施した際に発見したテクニックです。(正規の仕様を悪用) Webサーバーの侵害のため、WebShellの設置を疑い、まず拡張子ベースで不審なファイル(改ざん・作成)が存在しないか調査していたところ、いくつか不審なファイルは発見されましたが、どうしてもWebShellのような機能を有するファイルだけ見つかりませんでした。 そこで、拡張子で見ていく調査から各ディレクトリごとに気になるファイルが存在しないかの調査に切り替えたところ、1つだけ明らかにWebサーバーのコンテンツとして違和感のある"ファイル名"が付けられたCSSファ
【基本Tips】htaccessリダイレクトの書き方
ドメインやURLの変更で利用するリダイレクトの基本とテンプレートです htaccessとは ウェブサーバの設定を簡易的にできるファイルのことです。 ウェブサーバの設定をいじるにはターミナルでコマンドを入力しておこなうため、サーバ管理者以外の人にはハードルが高い作業になります。 そこで「.htaccess」です。 htaccessファイルに命令文を書くと、サーバが命令文にしたがって処理してくれます。 htaccessファイルはSEOの作業でも使われるため、ホームページの制作や運営には必ず使われます。 .htaccessファイルが使えるサーバ htaccessのファイル名は「.htaccess」となります。.htaccessファイルをサーバにアップロードすることで機能します。 htaccessファイルは多くのウェブサーバで使えますが、Nginxを利用しているサーバではhtaccessファイルは
制作の久保田です。 今回は、.htaccess のリダイレクト設定の方法を見ていきます。 コピペで使えるコードと、少し踏み込んだ記述内容の意味を掲載していますので、興味のある方は詳細まで目を通してみてください。 リダイレクトとは? webサイトの転送設定のことをリダイレクトといいます。 古いページに訪れたら、新しいページに転送をかけたい場合に設定します。 以下のようなケースでリダイレクト設定を行います。 サイトのリニューアル ページのリニューアル 期間限定のページ サイトメンテナンス サイトのページ削除(トップページに転送など) サイトのリニューアル等でページのurlが変わった場合、古いアドレスへアクセスした際、「ページが存在しない(NOT FOUND)」状態になるのを防ぐため、リダイレクトの設定が必要になります。 Googleにインデックスされている場合は、転送設定をかけることで、インデ
LinuxでApacheのAliasを設定して複数のサイトを公開する LinuxでApacheをインストールすると、デフォルトのDocumentRootは以下の場所になります。 /var/www/html ただし、これだと1つのWEBサーバーに対して1つのサイトしか公開... サブドメインじゃダメなの?と思った方へ。 まず、この記事に至った経緯ですが、自宅サーバーでフリードメインのサブドメインを自分で設定しようとすると何かと面倒なのでした。 しかし、この方法だと比較的簡単に設定することができます。 それでは参ります! Laravelをサブディレクトリで動かす 作成または変更する設定ファイルは、サーバー側でAriasを設定する〜.confと、Laravelのpublicディレクトリ直下にある.htaccessのみです。 ApacheのAliasを設定する ここでは、Linux(CentOS
PHP-FPM 環境で .htaccess に php_value は書ける? - mattintosh note
「.htacess に php_value を書くとエラーになる」という事象があったのでちょっと調べた。 エラーはこんな感じ。 /var/www/html/.htaccess: Invalid command 'php_value', perhaps misspelled or defined by a module not included in the server configuration Apache モジュール版の PHP を使っている場合は問題ないんだけど PHP-FPM で動かしているときは .htaccess で php_value が使えないっぽい。とりあえず AWS Amazon Linux 2 では amazon-linux-extras で PHP 7.3 をインストールするとデフォルトで PHP-FPM になる。 で、Qiita に代替え手段を書いている人がいた
更新頻度が低く量量が大きいファイルは.htaccessにブラウザキャッシュを設定して高速化しましょう。 逆に更新頻度が高いファイルはユーザーのためにキャッシュをさせないでおくべき(無効化)ですね。 ブラウザキャッシュ以外にgzip圧縮やmod_paegspeedが併用できれば、より表示速度UPにつながります。 ブラウザキャッシュ制御で表示速度UP WEBサイトは表示速度が命 WEBサイトの表示速度を上げることはSEO対策にとって重要な項目であり、アクセス数アップにつながります。 実際に表示速度が遅いWEBサイトはユーザーの半数以上が離脱するというデータもあると言います。 人は瞬時に映るサイトに対して高評価を持つのですね。 そしてサイトの表示速度が速ければ速いほど、ユーザーの滞在時間が長くなる傾向にあると覚えておきましょう。 キャッシュ機能を利用する では少しでもWEBページの表示を早くする
以前にも ・www有無 ・常時SSL化の際にhttpからhttpsへのリダイレクト に関する記事を書いています。 しかしこの度、エックスサーバーにて新しいサブドメイン(www以外)を設定した時に.htaccessの記述内容が原因で、サブドメインの設定がうまくいかなかったので修正しました。 エックスサーバーでのサブドメイン設定まず、エックスサーバーでサブドメインのディレクトリ構造について。 例えばtest.example.comというexample.comのサブドメインtestを設定するとディレクトリは以下のようになります。 /public_html/example.com/test/example.comのディレクトリの直下にtestというディレクトリが生成されます。 このtestディレクトリにデータをアップすると、https://test.example.com/で表示されます。 しかし
.htaccessファイルによるgzip圧縮は画像以外の構成ファイルを圧縮する事でWEBサイトの表示速度をアップさせる手法です。 設定すると表示速度は劇的に上がる場合があるし、表示速度が向上する事はSEO対策も有利に働きます。 mod_deflateが使えるサーバーであればサーバー側が圧縮をしてくれるが、使えない場合は自前で圧縮ファイルを用意する必要がある。 gzip圧縮とは? gzip圧縮とはファイルサイズを小さくする圧縮方法の1つであり、gzipは「GNU zip」の略称です。 名前にzipが含まれていますが元々はUNIXというOSで独自に作られた圧縮プログラムです。 WEBサイトを構成しているhtml、JS、css、xmlなどを圧縮することで、データ量が軽くなりWEBサイトの表示速度を向上させる効果があります。 高いパフォーマンスと完璧な圧縮・復元 mod_deflateという圧縮方
常時SSL前提で書いてます。常時SSLじゃない場合は RewriteRule などの https:// の部分を http:// に変えてください。 httpsに統一 全てのページへのアクセスを https に統一します。 http://your-domain.com へのアクセスを https://your-domain.com へリダイレクトします。 そのままコピペするだけで使えます。 # httpsに統一 RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] wwwなしに統一 https://www.your-domain.com へのアクセスを https://your-domain.com へリダイレクトします。 http://www.your-domain
.htaccessのリダイレクトはmod_rewrite構文による正規表現を使った非常に便利な機能です。特定ページやディレクトリ階層へと転送できます。 301リダイレクトで転送元の価値をそのまま転送先へ継承する事ができますのでSEO・url正規化によく利用されます。 mod_rewrite構文でよく見かける正規表現記号や後方参照については、コピペで済まさずにきちんと理解しておきましょう。 mod_rewriteによるリダイレクト構文 .htaccessでリダイレクトを掛ける場合、.htaccessではmod_rewrite機能を実行しています。 mod_rewriteとは mod_rewriteとはWEBサーバーApacheのモジュールの一つで、さまざまな条件を指定してURL書き換えができる機能です。 命令数に制限はないですし、正規表現を使ってURLの書き換えができるため多彩な処理が行えま
PHP | .htaccess内に追加(SetEnv)した環境変数で開発環境/本番環境など動作環境を切り替える方法
.htaccess に SetEnv で環境変数を設定 下記のように .htaccess に SetEnv で環境変数を設定することが出来ます。開発中のプロダクトや運用中のプロダクトで環境毎に切り替えるために # 本番環境 # SetEnv APP_ENV 'production' # 開発環境(コメントを外して有効) SetEnv APP_ENV 'develop' # ローカル環境 # SetEnv APP_ENV 'local' 環境変数の取得と切り替え getenv() で環境変数の値を取得 // .htaccess に設定した環境変数の値取得 $appEnv = getenv('APP_ENV'); 環境切り替え getenv() で取得した環境変数の値を条件に環境毎の設定ファイル等を呼び出します。 if ($appEnv == 'local') { $settings = re
【備忘録】WordPressの常時SSL化で.htaccessでリダイレクト設定してもトップページ以外リダイレクトが効かない時の対処法 | WEBの技
トップページが問題なかったのですっかり油断していました。。。 WordPressを使用しているサイトを 常時SSL(https)化して.htaccessにリダイレクト設定をしたのですが トップページではhttpからhttpsへリダイレクトしますが 下層ページではhttpのままリダイレクトされない。。。 この対処法を調べてみました。 原因は.htaccessの記述順 .htaccessを開くと下記の記述がありました。 # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule .
Azure App Service on Linux(PHP 8.0)で.htaccessが使えなかった | DevelopersIO
いわさです。 App Service on LinuxでランタイムにPHP8.0を選択しサイトを構築しました。 既定のドキュメントを変更するために、.htaccessに以下の記述を行いアップロードしました。 DirectoryIndex hoge.html しかし、ルートURLでアクセスすると、デフォルトで配置されているhostingstart.htmlが表示されてしまいました。 App Service on Windowsでは既定のドキュメントに関する設定項目がありますが、Linuxにはありません。 今回のように既定のドキュメントを変更したいなどなったときはドキュメントでは.htaccessを利用するように案内されています。 App Service の既定の PHP イメージでは Apache が使用されていて しかし、.htaccessの設定が効いてない感じがします。 どういうことでし
kana-lier.com
サイトのお引越しや、ドメインの載せ替え、404エラーページの設定など、Webサイトを運用していく上で、リダイレクト(転送)が必要になるフェーズは多いと思います。 リダイレクトをする方法はいくつかありますが、リダイレクト前のページの検索評価を受け継ぐことができるという点で「SEOの評価をリダイレクトによって落としたく無い」と考えている方におすすめなのが、「.htaccess」を使ったリダイレクト設定です。 この記事では、「.htaccess」を使ったリダイレクト設定の具体的な方法について、ケース別に詳しく解説していきます。各ケース別に「.htaccess」ファイルの作成方法や記述内容、どこにアップロードをすればいいかも紹介しますので、ご自身のサイト運用にお役立てください。 「.htaccess」とは?何ができる? 「.htaccess」(ドット・エイチ・ティ・アクセス)は、Webサーバーの設
「htaccessで特定環境の時だけBASIC認証をかけたい」 「htaccessで複雑なリクエストURIの時だけBASIC認証をかけたい」 こんにちは、タカフです。 .htaccess便利ですよね。 Webアプリケーションを色々カスタマイズするときに欠かせない.htaccessですが、いかんせん記述ルールが覚えづらい!! その独特な記述ルールから、覚えても実装する時は不安だったりするので結局毎回ググってはいる気がします。 そんな中、Apache2.4になってより細かい制御も出来るようになり、ちょっと目から鱗のコードがあったので紹介します。 環境毎にBASIC認証をかける Apache2.4からはIfディレクティブが使えるようになり、より細かい制御が出来るようになりました。 例えば開発環境の時だけBASIC認証をかけたい時などは次のように記述します。 <If "%{HTTP_HOST} =
ホームページを作成したことがある方なら、.htaccess(ドットエイチティアクセス)という言葉を聞いたことがあるでしょう。一方で、何か便利なことができるようだけれど専門用語が難しくて一体どんなものなのか分からないという方も多いのではないでしょうか。この記事では、そもそも.htaccessとは何かといった基本から設定方法まで簡単に解説しています。 .htaccessとはそもそも何? .htaccessとはWebサーバーの基本的な動作を、ディレクトリ単位で制御するためのファイルです。Apacheをはじめとして、いくつかのWebサーバーに対応しています。レンタルサーバー等でホームページを公開する際にも、.htaccessによっていろいろな機能を実現できることから、どのように役立つか知っておきたいところです。 .htaccessで何ができるの? それでは、.htaccessを使うことによって、具
リダイレクトとは?種類や設定方法、htaccessファイルの書き方などについて解説 | MarkeTRUNK
「Webサイトをリニューアルしてドメインが変わった」「旧アドレスからリダイレクトをかけるように言われたけれど何のことかわからない」など、自社のWebサイトを運営していると、ときにはこんなケースも出てくるでしょう。 リダイレクトとは、自動的にページを別のページに転送させることを言います。今回は、このリダイレクトの意味や目的、種類、設定方法、.htaccessファイルの書き方などについて解説します。 リダイレクトとは、Webサイト全体やページなどを新しいURLに変更したときに、自動的に新しいURLに転送させる仕組みのことです。 例えば、自社のWebサイトをリニューアルした際に、Webサイトのドメインを変更したとします。リニューアル前のページをブックマークやお気に入りに入れていたユーザーが、リニューアル後に、そのブックマークやお気に入りをたどってWebサイトにアクセスしたときに、リダイレクトがか
以前の記事【.htaccess】特定の相手のアクセスを拒否・サイトに制限をかける にて、IPアドレスやドメインを使って、サイトへのアクセスをブロックする方法をご説明しました。 今回は、特定の国からのアクセスを全て弾く設定についてご説明します。 【追記】 2022年3月、弊社サイトに対して不正ログインを試みるIPアドレスが多い地域のIPアドレスリストを記載した記事を公開しました。 合わせてご覧ください。 【.htaccess】特定の国のIPアドレスでアクセスを拒否(ブロック)する まずは不審な相手を見極める 最近特定の国からのWordPress管理画面に対する不正アクセスが異常に多く、総当たり攻撃でパスワードを解除しようとしている痕跡がログに残っていました。 うちのパスワードはとても長くしている上に、何度もパスワード入力をミスるとサイト自体にアクセスできなくするプラグインを入れているので別に
概要 Apacheで「.htaccess」を有効にする方法を紹介します。「.htaccess」を有効するとディレクトリ毎にIP制限をおこなったりユーザー認証をおこなったりと色々と設定を行うことが出来ます。 「.htaccess」の ファイル名を変更する場合は、 AccessFileName ディレクティブを使って設定すれば、 ファイル名を変更する事ができます # vi /etc/httpd/conf/httpd.conf AccessFileName .config 「.htaccess」を有効にする設定 「.htaccess」を有効にするには、「AllowOverride」ディレクティブを変更することで有効になります 「.htaccess」を有効にする場合 後で説明しますが、「AllowOverride」では認証に関するディレクティブやモジュールに関するディレクティブなどを設定を柔軟にお
例外パスを設けたWordPress用のBasic認証を.htaccessで設定してみた | DevelopersIO
EC2上で稼働するWordPress環境のBasic認証を.htaccessで設定する機会がありましたので紹介させていただきます。 環境 OS $ cat /etc/system-release Amazon Linux release 2 (Karoo) httpd $ rpm -q httpd httpd-tools httpd-2.4.53-1.amzn2.aarch64 httpd-tools-2.4.53-1.amzn2.aarch64 設定 .htpasswd 「htpasswd」コマンドを利用して.htpasswd ファイルの生成を行いました。 htpasswd -c /var/www/html/.htpasswd <user> WordPressのインストールパスに存在する.htaccess の前に Basic認証用の設定を追記しました。 ELBのヘルスチェックで利用する「
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
攻撃者が採用した「.htaccess」を改ざんして、任意の拡張子でPHPを実行する方法
まきのっぴ on Twitter: "この「安定的なレスポンスの確保を考慮し、リダイレクト対象とするコンテンツの選定を行いました」について「意味わからん」と言っている人が複数見られるので、「こういうことかもしれない」という1つの仮説を以下に示します。 端的に言うと「.htaccessでやろうとしたのでは?」です。" / Twitter
【保存版】.htaccessを利用したリダイレクト方法まとめ | 名古屋でホームページ制作、Web制作なら株式会社エッコ
ApacheのAliasと.htaccessでLaravelをサブディレクトリで動かす | minory
.htaccess(ブラウザキャッシュ高速化・無効化)制御による表示速度UP
www有り無し統一してhttps化する .htaccessのスマートな書き方 - とくしよネット
.htaccess(gzip圧縮系)の設定方法
.htaccess よくあるURL正規化やリダイレクトの書き方 WordPress対応版 - Qiita
.htaccess mod_rewriteによる正規表現を使ったリダイレクト設定
.htaccessを使ったよく使うリダイレクトまとめ | LOVELOG
【ケース別】.htaccessのリダイレクト設定方法とよくあるトラブル対処法 | 株式会社パンタグラフ
【Apache2.4】の.htaccessのIFディレクティブでスラッシュを使う方法
【基本】.htaccessとは?何ができるの?書き方は? - カゴヤのサーバー研究室
【.htaccess】国ごとのIPアドレスでサイトアクセスを拒否する
まきのっぴ on Twitter: "(補足: .htaccessはアクセス毎に読み込まれるがhttpd.confは起動時に1回読み込まれるだけなので、設定行数が少量なら無視できるが設定行数が膨大になる場合は圧倒的な性能差が生まれる)" / Twitter
まきのっぴ on Twitter: "そこで「それリダイレクト設定どこに書きました? .htaccessに書いてない? でしょ? じゃあhttpd.confに書いて再検証してみて」と指示してやり直した結果、許容し得る性能低下で済むようになったとの報告があり、数万行のリダイレクト設定を施したリニューアルが無事実現できました。" / Twitter
Apacheの「.htaccess」を有効にする方法 | ex1-lab
iroiro127.hateblo.jp
nagasaki1218.hatenablog.com
dtm-sale.com
www.nikkei.com
trafficnews.jp
yuko0.nm.bex.jp