Napisał: Patryk Krawaczyński
07/02/2018 w Bezpieczeństwo, Pen Test
B
łędy popełnia każdy z nas. Zazwyczaj są to nasze błędy “autorskie”, ale często są to też błędy powielające błędy innych. Te drugie zazwyczaj wynikają z ślepej wiary w ścieżki, którymi prowadzą nas inne osoby – mówiąc prościej – podążając za tutorialami / przewodnikami z sieci zakładamy, że ich autor nie popełnił błędów, a my właśnie nie kopiujemy ich dalej. Jeśli wpiszemy w dowolną wyszukiwarkę frazy typu: “nginx ssl tutorial“, “apache ssl tutorial“, “haproxy ssl tutorial” itd. to możemy odnaleźć pewne wzory, którymi rządzą się te przewodniki…
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
14/05/2017 w Bezpieczeństwo
N
arzędzie o nazwie gixy zostało stworzone w celu możliwości przeprowadzenia statycznej analizy pliku konfiguracyjnego serwera nginx. Pozwala on znaleźć błędy w konfiguracji, które mogą doprowadzić do powstania m.in. następujących luk:
– Server Side Request Forgery
– Request Host Header Forgery
– HTTP Splitting
– Refferer/origin validation
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
29/03/2017 w Bezpieczeństwo
W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
11/03/2017 w Bezpieczeństwo
à
propos różnych poradników. Kilka poradników na temat integracji popularnego pluginu W3TC do tworzenia warstwy cache dla WordPress radzą, aby w konfiguracji serwera nginx umieszczać następujące wpisy:
location / {
include /var/www/wordpress/nginx.conf;
}
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
30/12/2016 w Bezpieczeństwo
N
agłówek protokołu HTTP: X-Forwarded-For (XFF) pierwotnie został przedstawiony przez zespół developerów odpowiedzialnych za rozwijanie serwera Squid, jako metoda identyfikacji oryginalnego adresu IP klienta łączącego się do serwera web, poprzez inny serwer proxy lub load balancer. Bez użycia XFF lub innej, podobnej techniki, dowolne połączenie za pośrednictwem proxy, pozostawiłoby jedynie adres IP pochodzący z samego serwera proxy zamieniając go w usługę anonimizującą klientów. W ten sposób, wykrywanie i zapobieganie nieautoryzowanym dostępom, stałoby się znacznie trudniejsze niż w przypadku przekazywania informacji o adresie IP, z którego przyszło żądanie. Przydatność X-Forwarded-For zależy od serwera proxy, który zgodnie z rzeczywistością, powinien przekazać adres IP łączącego się z nim klienta. Z tego powodu, serwery będące za serwerami proxy muszą wiedzieć, które z nich są “godne zaufania”. Niestety, czasami nawet i to nie wystarczy. W najnowszym Sekurak Zine #3 (mirror) postaram się przedstawić, dlaczego nie powinniśmy na ślepo ufać wartościom pochodzącym z tego nagłówka.
Napisał: Patryk Krawaczyński
17/11/2016 w Bezpieczeństwo
P
akiet nginx w dystrybucjach Debian i Ubuntu systemu Linux jest podatny na eskalację uprawnień poprzez zastosowanie niebezpiecznych praw dostępu do katalogu, gdzie przechowywane są logi serwera WWW. Skutkiem błędnej konfiguracji może być uzyskanie praw administratora przez atakującego, który na przykład wcześniej zdołał skompromitować aplikację internetową uruchomioną na serwerze nginx i uzyskał dostęp do konta www-data lub taki dostęp został mu wcześniej przyznany, aby móc wdrażać aplikacje internetowe. Za pomocą odpowiedniego eksploita jest w stanie podnieść swoje uprawnienia w ciągu 24 godzin za pomocą narzędzia logrotate, które poddaje logi rotacji raz dziennie.
Więcej informacji: CVE-2016-1247, PoC Video
Napisał: Patryk Krawaczyński
19/12/2015 w Administracja, Bezpieczeństwo
3
grudnia portal Let’s Encrypt osiągnął status beta tym samym dając możliwość wszystkim zainteresowanym użytkownikom podpisywania certyfikatów SSL za darmo. Za projektem stoją takie firmy, jak Akamai, Cisco, Electronic Frontier Foundation, Mozilla Foundation, Internet Society, IdenTrust, czy Automattic. Najważniejszą informacją jest fakt, że certyfikatom wydawanym przez portal Let’s Encrypt, w przeciwieństwie do dotychczas istniejących “darmowych” rozwiązań, ufają wszystkie liczące się na rynku Internetu przeglądarki. W dodatku cały proces wygenerowania i podpisania certyfikatu jest łatwy i można go prosto zautomatyzować.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
05/05/2015 w Bezpieczeństwo
Z
a pomocą HTTPsrvREAPER (uruchomionego w pięciu wątkach) oraz pracującego dzień i noc Raspberry Pi udało się przeskanować przeanalizować w czasie od sierpnia 2014 r. do kwietnia 2015 r. sieci z zakresu: 1.0.0.0/8 – 5.0.0.0/8. Razem powstało 1.312.618 wpisów zawierających informacje o używanej (bądź nie – Undefined) wersji oprogramowania serwera httpd przez dany adres IP.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
13/01/2015 w Bezpieczeństwo
P
oniższa konfiguracja serwera nginx dla komunikacji po https pozwala na uzyskanie oceny A+ w teście przeprowadzanym przez firmę Qualys SSL Labs. Ponadto zaspokaja wymagania PCI Compliance oraz FIPS, a także broni przed atakami typu: BEAST, Heartbleed czy POODLE. Innymi mechanizmami, które zostały zwarte to: HSTS, OSCP oraz SPDY. Stosując poniższą konfigurację należy liczyć się, że może ona nie działać (lub niektóre jej funkcjonalności) z starszymi przeglądarkami i aplikacjami typu: IE6, czy Java 6.
[ czytaj całość… ]
Napisał: Patryk Krawaczyński
27/06/2013 w Ataki Internetowe, Bezpieczeństwo
P
owszechną praktyką wśród programistów piszących własne webaplikacje oraz webowych frameworków odkrywających koło od nowa jest poleganie na wartościach zwracanych w nagłówku HTTP Host. Jest to bardzo wygodny sposób na gwarancję, że ta sama aplikacja zostanie uruchomiona na localhoście, serwerach środowiska: developerskiego, testowego, produkcyjnego, innych domenach i subdomenach itd., bez wprowadzania modyfikacji w kod aplikacji. Prosty przykład w PHP:
[ czytaj całość… ]
Ostatni komentarz :