The truth is rarely pure and never simple

awstats: Zugriff per URL-Parameter

awstats hat eine Eigenschaft, die nicht in allen Fällen gewünscht ist: die Konfigurationsdatei, die als Basis für die Anzeige verwendet wird, lässt sich über den Parameter config in der URL auswählen. Das kann u.U. ausgenutzt werden. Im Folgenden wird gezeigt, wie man komfortabel mit dem Apache-Modul mod_rewrite dafür sorgen kann, dass das nicht mehr ausgenutzt werden kann. Angenommen, es gibt eine Internetseite example.com, deren Statistiken unter stats.example.com einsehbar sein sollen. Desweiteren heiße die Konfigurationsdatei example. Damit lautet die vollständige URL http://stats.example.com/awstats.pl?config=example. Um eine versehentliche bzw. bösartige Manipulation des Parameters zu verhindern, reicht folgende Definition:

[plain]RewriteEngine On
RewriteCond %{QUERY_STRING} !^(.*config=example.*|/awstats-icon/.*)$
RewriteRule ^.*$ http://stats.example.com/awstats.pl?config=example
ScriptAlias /awstats.pl /usr/lib/cgi-bin/awstats.pl
Alias /awstats-icon/ "/usr/share/awstats/icon/"[/plain]

ScriptAlias und Alias sind hier nur wiedergegeben, um den URL-Aufbau zu verdeutlichen. Angenehmer Nebeneffekt: die Statistiken sind damit auch direkt über http://stats.example.com erreichbar, da auch dieser Aufruf umgeleitet würde.

Leave a comment

Your email address will not be published.