Hi,<br><br><div class="gmail_quote">On Thu, May 3, 2012 at 5:48 PM, Neha Chriss <span dir="ltr"><<a href="mailto:nchriss@gmail.com" target="_blank">nchriss@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hello<div><br></div><div>I am wondering if any one can recommend a method of identifying repeated POST attempts to a single URI with Security VCL or through some native varnish mechanism. I am currenlty using security vcl as a WAF with the modsecurity CRS. We occasionally have malicious users who will attempt to bruteforce promotions codes, or, alternative, attempt to scan our web application for vulnerabilities. I am looking for a way to mitigate these risks at the WAF-layer.. any suggestions?</div>

</blockquote><div><br></div><div>You could build something on top of the variable vmod. It probably needs a data structure that scales better, a hash or a tree. Then you can store IP-adress+URL somewhere and count the occurrences and blacklist clients whenever they pass a threshold. Or something.</div>

<div><br></div><div><br></div></div>-- <br><img src="http://www.varnish-software.com/sites/default/files/varnishsoft_white_190x47.png"><div>Per Buer<br>Phone: +47 21 98 92 61 / Mobile: +47 958 39 117 / Skype: per.buer<br>

<i>Varnish makes websites fly!</i><div><a href="http://www.varnish-software.com/whitepapers" target="_blank">Whitepapers</a> | <a href="http://www.youtube.com/watch?v=x7t2Sp174eI" target="_blank">Video</a> | <a href="https://twitter.com/varnishsoftware" target="_blank">Twitter</a> <br>

<br></div></div><br>