Защита от спама в комментариях с помощью Apache
Одной из самых больших проблем большинства владельцев блогов является спам в комментариях. Такой вид спама используется для “недобросовестной” поисковой оптимизации некоторых ресурсов. В таких комментариях обязательно содержатся ссылки на такие ресурсы, что увеличивает вес такого сайта для поисковиков.
(далее…)
Опубликовано в: Безопасность Февраль 9, 2007
Сокрытие версии сервера как способ повышения безопасности
Прочитал недавно статью на сайте www.debuntu.org, в которой автор (chantra) описывает способ улучшения безопасности сервера за счет сокрытия информации о версии серверного ПО. Утверждение автора, что данный способ повышает безопасность Apache довольно спорно, но об этом ниже. А пока давайте посмотрим на эксперименты автора по работе с заголовками сервера.
На любой GET или HEAD запрос, отправленный серверу, Apache, помимо запрошенного контента (для GET запроса), возвращает клиенту HTTP-заголовки. Вот типичный список заголовков, полученный от сервера Apache:
(далее…)
Опубликовано в: Безопасность Август 27, 2006
ModSecurity 2: Функции нормализации
Одно из того, что мне не нравилось в ModSecurity 1.x, это то, что его возможности противодействия обходу защиты были неявны. Входной поток всегда подвергался серии преобразований и всегда в одном порядке. С одной стороны это было удобно, так как вам не надо было заботиться об этом. Но такой подход - неявная нормализация - не надежен. (Не удивляйтесь). Во-первых, случаются ситуации, когда вам необходимо сделать некоторые преобразования (иногда специфичные) до того как вы увидите данные. Во-вторых, когда важен контекст, в котором используются входные данные. Такой подход не всегда подходит для выполнения специфичных преобразований - вы можете даже помочь злоумышленникам избежать обнаружения.
(далее…)
Опубликовано в: Безопасность Июль 11, 2006
Изолирование Apache в Windows
На Web Security Blog опубликовано письмо Юрия Зайцева (Yury Zaytsev), в котором он описывает свой опыт по изолированию Apache в ОС Windows. Под изолированием понимается максимальное ограничение возможности доступа к системе, что существенно понижает возможность выполнения злонамеренных действий. Вот выдержка из этого письма:
(далее…)
Опубликовано в: Безопасность Июнь 15, 2006
HTTP Request smuggling (Часть 2)

Различные техники HRS

В предыдущей статье мы рассмотрели (и использовали) следующие ошибки при обработке HTTP запросов:
  1. Два различных заголовка Content-Length (Пример №1, №4 и №5)
  2. Запрос GET с заголовком Content-Length (Пример №3)
  3. Ошибка с 48К в IIS/5.0 (Пример №2)
(далее…)
Опубликовано в: Безопасность Февраль 17, 2006
HTTP Request smuggling (Часть 1)

Аннотация

Этот документ подводит итог нашей работы по недавно появившейся технике атаки - HTTP Request Smuggling. В нем мы опишем эту технику и объясним, в каких случаях она может применяться и какой может нанести вред.
Данный документ предполагает знание читателем основ HTTP. Тем, кто плохо знаком с HTTP, рекомендуем ознакомиться с RFC HTTP/1.1 [4]

Введение

В этом документе мы опишем новый вид веб-атаки - “HTTP Request Smuggling”. Данный вид атаки, а также все производные виды направлены на веб-устройства и становятся результатом того, что HTTP сервер или другое устройство начинают некорректно работать, пытаясь обработать специально сформированные HTTP запросы.
(далее…)
Опубликовано в: Безопасность Февраль 12, 2006

© apachedev.ru, 2005-2011