NFsec Logo

OPTIONSbleed – HTTP OPTIONS może prowadzić do wycieku pamięci serwera Apache

18/09/2017 w Bezpieczeństwo Brak komentarzy.

P

odczas codziennego użytkowania Internetu zazwyczaj korzystamy z dwóch metod HTTP: GET oraz POST. Inną metodą jest OPTIONS, która po prostu pozwala na odpytanie serwera HTTP, jakich metod może użyć użytkownik w komunikacji z nim. Serwer powinien nam odpowiedzieć wartością nagłówka „Allow”, gdzie obsługiwane metody będą wymienione po przecinku:

curl -v -XOPTIONS https://www.0x0.pl > /dev/null

HTTP/1.1 200 OK
Allow: OPTIONS, GET, HEAD, POST
Cache-Control: max-age=604800

[ czytaj całość… ]

Wstrzykiwanie .htaccess do aplikacji PHP

22/01/2017 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

M

imo, że nginx zyskuje coraz więcej na popularności, jeśli chodzi o główny serwer serwujący treści w internecie to Apache z jego mod_php nadal jest faworyzowany w większości systemów CMS oraz webaplikacji napisanych w języku PHP. Bardzo częstym błędem jest oddawanie pełnej kontroli takim aplikacjom i ustawianiu dla ich katalogu opcji AllowOverride na wartość All. Poniżej znajduje się kilka przykładów (w większości działają nawet z 7 wersją PHP), które po wstrzyknięciu / umieszczeniu pliku .htaccess do takiego katalogu dają ciekawe efekty:
[ czytaj całość… ]

Apache – podstawowy poziom bezpieczeństwa – podsumowanie

02/03/2014 w Bezpieczeństwo Brak komentarzy.

G

dybym miał na dzisiejszy dzień zapewnić podstawowy poziom bezpieczeństwa swojego serwera WWW – po standardowej instalacji z paczki zacząłbym od kilku rzeczy:
[ czytaj całość… ]

Konfiguracja serwera Apache względem .htaccess, a jego wydajność

18/03/2012 w Administracja 1 komentarz.

W

iększość współdzielonych konfiguracji hostingowych zezwala na używanie plików .htaccess w określonych ścieżkach, gdzie przetrzymywane są strony klientów. Tyczy się to również konfiguracji przewidzianych dla dedykowanych projektów. Jak wynika z obserwacji Dawida Golunskiego przeniesienie konfiguracji z plików .htaccess (i tym samym ominięcia konieczności ich używania) do plików konfiguracyjnych hostów wirtualnych może przynieść zwiększenie wydajności serwera WWW do około 6.6% (w zależności od środowiska testowego i produkcyjnego wartość ta może być mniejsza lub większa).
[ czytaj całość… ]