Tag: apache

mini-Apache-bleed – poważna podatność w serwerze http Apache – wyciek pamięci z serwera

14 lipca 2017, 09:46 | W biegu | komentarze 3

Podatność okryta przez Roberta Święckiego, i właśnie załatana (w wersji 2.4.27). Pierwszy problem (score 7.4 w skali CVSSv2) umożliwia na otrzymanie fragmentu zawartości pamięci z serwera, wysyłając odpowiednie nagłówki do serwera korzystającego z modułu mod_auth_digest. Pamiętacie Heartbleed? Stąd i robocza nazwa podatności mini-Apache-bleed: The value placeholder in [Proxy-]Authorization headers of type…

Czytaj dalej »

Nagłówek X-Forwarded-For – problemy bezpieczeństwa…

20 lutego 2017, 13:40 | Teksty | komentarzy 5
Nagłówek X-Forwarded-For – problemy bezpieczeństwa…

Nagłówek protokołu HTTP: X-Forwarded-For (XFF) pierwotnie został przedstawiony przez zespół developerów odpowiedzialnych za rozwijanie serwera Squid jako metoda identyfikacji oryginalnego adresu IP klienta łączącego się do serwera web poprzez inny serwer proxy lub load balancer. Bez użycia XFF lub innej, podobnej techniki, dowolne połączenie za pośrednictwem proxy, pozostawiłoby jedynie adres IP…

Czytaj dalej »

Pwn2Own oferuje $200 000 za exploita na http serwer Apache

21 stycznia 2017, 21:19 | W biegu | 0 komentarzy

… a to tylko jedna cegiełka w całej tegorocznej puli nagród przekraczającej $1 000 000. Finały z prezentacją ataków zaplanowane są na połowę marca 2017r. Poza klasyką tego konkursu (czyli atakami na przeglądarki), w tym roku mamy takie kategorie: Virtual Machine Escape (Guest-to-Host) Web Browser and Plugins Local Escalation of…

Czytaj dalej »

Unia Europejska zapewni bezpłatny audyt bezpieczeństwa dla web serwera Apache i Keepass-a

25 lipca 2016, 09:15 | W biegu | komentarze 4

Oba projekty zostały wybrane w wyniku przeprowadzonej ankiety (Keepass otrzymał około 23% głosów, web serwer Apache – prawie 19%): Niektórzy obawiają się, że finalny raport może być długim i skomplikowanym dokumentem, który nie wiele będzie wnosił (albo będzie wnosił pewne kurioza). Bądźmy jednak dobrej myśli, szczególnie że projekt jest pod obserwacją…

Czytaj dalej »

HTTPoxy – nowa podatność webowa umożliwiająca podsłuch komunikacji HTTP

19 lipca 2016, 00:31 | W biegu | komentarzy 7

Całość umożliwia atak MiTM (podsłuch komunikacji HTTP wychodzącej z serwera) i bazuje na konflikcie nazw zmiennych środowiskowych (a dokładniej zmiennej HTTP_PROXY): RFC 3875 (CGI) puts the HTTP Proxy header from a request into an environment variable called HTTP_PROXY. HTTP_PROXY is a popular environment variable used to configure an outgoing proxy. Czyli jednym z warunków wstępnych…

Czytaj dalej »

Quick Tip: Mozilla SSL Configuration Generator

02 lutego 2015, 18:22 | Narzędzia, W biegu | komentarze 4
Quick Tip: Mozilla SSL Configuration Generator

Ostatni rok przyniósł nam wiele medialnych podatności, takich jak chociażby POODLE. Powoduje to coraz większe zainteresowanie tematem hardeningu SSL, a to przekłada się na więcej próśb znajomych deweloperów o sprawdzenie konfiguracji SSL. Warto więc zapisać sobie link do narzędzia Mozilli o nazwie SSL Config Generator, aby zaoszczędzić sobie nieco czasu :-). Powyższe narzędzie pozwala przygotować…

Czytaj dalej »

Ataki na serwisy internetowe z użyciem plików konfiguracyjnych i wykonywalnych serwera Apache

06 maja 2013, 15:23 | Aktualności | komentarze 3
Ataki na serwisy internetowe z użyciem plików konfiguracyjnych i wykonywalnych serwera Apache

Z badań amerykańskiej firmy Sucuri zajmującej się monitorowaniem bezpieczeństwa serwisów internetowych wynika, że w ostatnim czasie zauważalnie wzrasta liczba ataków na strony www przez zainfekowane moduły serwera Apache oraz zmodyfikowane pliki konfiguracyjne.
Są to dość wyrafinowane metody, z reguły trudne do wykrycia i dające spore możliwości atakującemu.

Czytaj dalej »