NFsec Logo

AWS EC2 Elastic Load Balancer HTTPS Redirect

22/02/2013 w Administracja Brak komentarzy.

P

oniższe reguły mod_rewrite pozwalają na przekierowanie całego ruchu HTTP na HTTPS na serwerach Apache utworzonych w ramach AWS EC2 – wykorzystując nagłówek X-Forwarded-Proto dostarczany przez Load Balancer:

  RewriteEngine On
  RewriteCond %{HTTP:X-FORWARDED-PROTO} !https [NC]
  RewriteCond %{REQUEST_URI} !^/status\.php
  RewriteRule ^/?(.*) https://domena.pl/$1 [R=301,L]

Gdzie URL http://domena.pl/status.php jest sprawdzana przez Health Checker w celu stwierdzenia, czy dany serwer WWW jest reponsywny – dlatego została wykluczona z przepisywania.

Więcej informacji: Elastic Load Balancing Concepts and Terminologies

Varnish Agent – webowy interfejs dla serwera Varnish

28/01/2013 w Administracja Brak komentarzy.

K

ristian Lyngstøl wydał Varnish Agent. Jest to RESTowy interfejs do kontroli serwera Varnish używający protokołu HTTP. Interfejs ten składa się z font-endu napisanego w HTML / JavaScript oraz agenta napisanego w języku C. Przy standardowej konfiguracji serwera varnish – agent nie wymaga żadnej konfiguracji. Dla systemów Debian oraz Ubuntu dostępne są już stworzone pakiety przez autora. Dla systemów z rodziny RedHat znajdziemy plik .spec pozwalający na stworzenie własnego pakietu RPM. Za pomocą agent’a w bardzo prosty sposób jesteśmy w stanie m.in: wyświetlać oraz zmieniać parametry serwera, pobierać dane statystyczne w formacie JSON, wgrywać i pobierać pliki konfiguracyjne VCL, czy startować i zatrzymywać serwer.

Więcej informacji: Varnish Software

Hacker i Samuraj – Jeff Goodell – suplement do Ducha w Sieci

27/01/2013 w Hackultura Brak komentarzy.

D

ziwne zjawisko. Gdańskie Wydawnictwo Psychologiczne w 1996 roku wydało polską wersję książki „The cyberthief and the samurai” autorstwa Jeff’a Goodell’a (oryginał również został wydany w 96.). Dlaczego to takie dziwne? Ponieważ po przeczytaniu Ducha w Sieci osoby, które od razu sięgną po tą starszą pozycję poczują się jak w filmie 8 Części Prawdy – przeżywając tą samą historię opowiedzianą przez Kevina Mitnicka, ale oczami tych wszystkich osób, z którymi miał do czynienia podczas swoich przygód z hackingiem. Prawie wszystkie rzeczy, które Kevin stawiał pod znakiem zapytania znajdują tutaj swoje wytłumaczenie. Na przykład dlaczego Neill Clift zdecydował się wydać go FBI, jakie były dziennikarskie kulisty powstania „Cyberpunka„, czy John Markoff rzeczywiście miał personalny uraz do Mitnicka za czytanie jego osobistej poczty elektronicznej oraz jak postrzegali go inni bohaterowie jego własnej autobiografii wydanej po latach.
[ czytaj całość… ]

Nagrywanie sesji SSH do pliku

26/01/2013 w CmdLineFu Brak komentarzy.

Wszystkie polecenia oraz ich komunikaty wyjściowe zostaną zapisane do pliku srv_session.txt:

ssh login@server.com | tee -a srv_session.txt

SSLyze – szybki skaner SSL

24/01/2013 w Pen Test Brak komentarzy.

S

SLyze jest narzędziem napisanym w języku Python, które potrafi przeprowadzać analizę konfiguracji serwerów SSL. Jego głównym zadaniem jest pomoc w testowaniu i wykrywaniu ich złej konfiguracji. Głównymi cechami programu są:
[ czytaj całość… ]

Duch w Sieci – Kevin Mitnick & William L. Simon

23/01/2013 w Hackultura Brak komentarzy.

1

6 lutego 1995 roku na pierwszej stronie papierowego wydania gazety New York Times, w ramce w lewym górnym rogu – w miejscu tradycyjnie zarezerwowanym przez redaktorów Times’a dla drugiej najważniejszej wiadomości dnia – znalazł się nagłówek „Najbardziej poszukiwany złodziej elektroniczny wpada w własne sidła.” autorstwa John’a Markoff’a. Fakt ten jest tematem przedostatniego rozdziału „Jak zostałem kozłem ofiarnym.” ostatniej – czwartej części 670 stronicowej książki Kevina Mitnicka oraz Williama L. Simona. Dlaczego książka ta jest tak ważna dla „środowiska” i nie tylko?
[ czytaj całość… ]

Identyfikacja metod HTTP serwera WWW

22/01/2013 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

P

oniżej znajduje się mały skrypt korzystający z polecenia netcat w celu łączenia się z dowolnym serwerem WWW i sprawdzaniem, które metody są przez niego obsługiwane:
[ czytaj całość… ]

Web performance – DNS Prefetching

21/01/2013 w Techblog Brak komentarzy.

D

NS Prefetching polega na próbie rozwiązania innej nazwy domenowej przed kliknięciem użytkownika na link znajdujący się w tej domenie. Co to oznacza w praktyce? Na przykład strona nfsec.pl hostuje wszystkie swoje pliki graficzne za pomocą usługi CDN (ang. Content Delivery Network) w domenach img(1|2|3).nfsecstatic.pl oraz używa API pod adresem api.nfsec.pl. Jeśli na stronie głównej lub podstronach strony nfsec.pl będą znajdowały się aktywne linki lub zasoby wykorzystujące w/w nazwy domenowe – to dopiero w momencie kliknięcia użytkownika na wybrany link lub odwołanie się do konkretnego zasobu (np. wyświetleniu obrazka) – przeglądarka dokona rozwiązania DNS, czyli przetłumaczenia nazwy domenowej na konkretny adres IP.
[ czytaj całość… ]

Twój Mac trzyma listę wszystkich pobranych plików

18/01/2013 w Bezpieczeństwo Brak komentarzy.

O

kazuje się, że w systemie Mac OS X nie wystarczy wyczyścić historii przeglądarki i listy pobranych plików, aby zachować te informacje w obszarze swojej prywatności. Mechanizm kwarantanny Launch Services, który odpowiedzialny jest m.in. za okno dialogowe, które pyta nas – czy na pewno chcemy otworzyć pliki pobrane z Internetu – trzyma także listę wszystkich pobranych przez nas plików w swojej bazie. Listę wyświetlić można poleceniem wydanym w terminalu, odpytującym lokalną bazę sqlite:
[ czytaj całość… ]

Grabienie rozproszonych systemów zarządzania wersjami dla zabawy i zysku

17/12/2012 w Bezpieczeństwo Brak komentarzy.

T

aki tytuł swojej prezentacji na DEFCON 19 przyjął Adam Baldwin. Opierała się ona na błędzie w postaci braku blokady dostępu do plików zawierających metadane systemów DVCS (ang. Distributed Version Control Systems), czyli po prostu plików pochodzących z rozproszonych systemów kontroli wersji takich jak: .git, .bzr (bazaar), .hg (mercurial), czy .svn (subversion). Błąd ten wynika najczęściej z faktu, że programiści używają tego rodzaju rozwiązań do wdrażania aplikacji na serwery środowisk produkcyjnych, które także pełnią rolę publicznych serwerów WWW.
[ czytaj całość… ]

Strona 20 z 59« Pierwsza...510...1819202122...2530...Ostatnia »