Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: nginx

NGINX: moskiewskie biuro firmy najechane przez policję. Skonfiskowano sprzęt, pracownicy przesłuchiwani

12 grudnia 2019, 18:17 | W biegu | 0 komentarzy
NGINX: moskiewskie biuro firmy najechane przez policję. Skonfiskowano sprzęt, pracownicy przesłuchiwani

Chodzi o pienią^H^H^H^H^H^H prawa autorskie. Firma stojąca za serwisem rambler.ru (jest on w ~300 najczęściej odwiedzanych serwisach na całym świecie) twierdzi, że Igor Sysoev pisał NGINX-a będąc zatrudnionym w niej jako admin. Zatem NGINX należy de facto do ramblera. Sprawa jest o tyle skomplikowana, że najpopularniejszy web serwer w Internecie,  jest dostępny…

Czytaj dalej »

NGINX + PHP -> można zdalnie przejąć serwer (bug w PHP). Jest exploit, nie ma oficjalnego update…

23 października 2019, 10:00 | W biegu | komentarze 3

Szczegóły podatności można zobaczyć w tym miejscu. Czytamy tutaj: Such conditions can be achieved in a pretty standard Nginx configuration. If one has Nginx config like this: „` location ~ [^/]\.php(/|$) { fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; … } } „` I dalej: This issue leads to code…

Czytaj dalej »

Nagłówek X-Forwarded-For – problemy bezpieczeństwa…

20 lutego 2017, 13:40 | Teksty | komentarzy 5
Nagłówek X-Forwarded-For – problemy bezpieczeństwa…

Nagłówek protokołu HTTP: X-Forwarded-For (XFF) pierwotnie został przedstawiony przez zespół developerów odpowiedzialnych za rozwijanie serwera Squid jako metoda identyfikacji oryginalnego adresu IP klienta łączącego się do serwera web poprzez inny serwer proxy lub load balancer. Bez użycia XFF lub innej, podobnej techniki, dowolne połączenie za pośrednictwem proxy, pozostawiłoby jedynie adres IP…

Czytaj dalej »

HTTPoxy – nowa podatność webowa umożliwiająca podsłuch komunikacji HTTP

19 lipca 2016, 00:31 | W biegu | komentarzy 7

Całość umożliwia atak MiTM (podsłuch komunikacji HTTP wychodzącej z serwera) i bazuje na konflikcie nazw zmiennych środowiskowych (a dokładniej zmiennej HTTP_PROXY): RFC 3875 (CGI) puts the HTTP Proxy header from a request into an environment variable called HTTP_PROXY. HTTP_PROXY is a popular environment variable used to configure an outgoing proxy. Czyli jednym z warunków wstępnych…

Czytaj dalej »

Analiza zrzutów pamięci na przykładzie nginx

01 lipca 2016, 08:55 | Teksty | komentarzy 5
Analiza zrzutów pamięci na przykładzie nginx

Analiza zrzutów pamięci to technika przydatna gdy proces niespodziewanie kończy swoje działanie, a w logach, czy systemach monitoringu nie mamy wystarczających informacji aby tę sytuację wyjaśnić. W złożonych systemach zdarza się także, że trudno jest problem reprodukować, co z kolei znacznie utrudnia debugowanie, a w konsekwencji przygotowanie poprawki. W artykule wyjaśniono jak przygotować zrzuty pamięci oraz jak je analizować.

Czytaj dalej »

Quick Tip: Mozilla SSL Configuration Generator

02 lutego 2015, 18:22 | Narzędzia, W biegu | komentarze 4
Quick Tip: Mozilla SSL Configuration Generator

Ostatni rok przyniósł nam wiele medialnych podatności, takich jak chociażby POODLE. Powoduje to coraz większe zainteresowanie tematem hardeningu SSL, a to przekłada się na więcej próśb znajomych deweloperów o sprawdzenie konfiguracji SSL. Warto więc zapisać sobie link do narzędzia Mozilli o nazwie SSL Config Generator, aby zaoszczędzić sobie nieco czasu :-). Powyższe narzędzie pozwala przygotować…

Czytaj dalej »