HTTPoxy: vulnerabilidad PHP y CGI (HTTP_PROXY)

Tenemos recién salida del horno una nueva vulnerabilidad (HTTPoxy) con caracter crítico que afecta a servidores web que sirven PHP y CGI principalmente, aunque afecta también a otros lenguajes de scripting. El origen del problema es la variable HTTP_PROXY. El ataque consiste en enviar una petición HTTP que contenga en las cabeceras la información de Seguir leyendo


ModSecurity: No action id present within the rule

Antiguamente, ModSecurity permitía establecer políticas de whitelist de forma muy sencilla con la directiva REMOTE_ADDR: SecRule REMOTE_ADDR “^127.0.0.1$” nolog,allow En las versiones actuales de ModSecurity, si establecemos esta regla y ejecutamos un configtest de Apache (o reiniciamos el servicio si somos valientes…) recibiremos el siguiente error de configuración: Syntax error on line 30 of /etc/httpd/conf.d/mod_security.conf: Seguir leyendo


Consola web centralizada para eventos de ModSecurity

Normalmente, la gestión de eventos se realiza revisando directamente los eventos que se registran en el propio log de ModSecurity. Cuando tenemos un único servidor web normalmente es suficiente pero cuando el número comienza a crecer la gestión centralizada es sin duda la mejor opción. En este punto es cuando comencé a buscar una consola Seguir leyendo


Deshabilitar mod_security por virtualhost, location, reglas, IP…

ModSecurity es un excelente módulo de Apache que actua a modo de firewall de aplicaciones Web y que provee protección contra ataques, permite monitorizar el tráfico HTTP y realizar análisis en tiempo real. Hace ya 7 años que publiqué una guía de instalación que en principio todavía es válida así que podéis echarle un vistazo. Seguir leyendo


POODLE: deshabilitar SSLv3 en Apache, Nginx, Lighttpd

Vamos a ver como deshabilitar SSLv3 en los servidores web más conocidos: Apache, Nginx y Lighttpd. Podéis ver los detalles de la vulnerabilidad en el post POODLE: vulnerabilidad crítica en SSL 3.0 Deshabilitar SSLv3 en Apache Para deshabilitar SSLv3 en el servidor web Apache debemos modificar la directiva SSLProtocol ofrecida por el módulo mod_ssl. Por Seguir leyendo


OpenSSL: SSL23_GET_SERVER_HELLO:unknown protocol

Con OpenSSL podemos comprobar el estado de una conexión SSL o si la configuración de un servidor web (Apache, IIS, Lighttpd, NginX…) es correcta, tanto a nivel de certificado como de listeners. El comando para lanzar una petición al servidor web es el siguiente: # openssl s_client -connect miservidorweb.com Podemos especificar un puerto distinto: # Seguir leyendo


Configurar Apache como Frontend de JBoss

En esta entrada vamos a ver como configurar un servidor web Apache delante de un servidor de aplicaciones JBoss. Comenzaremos con las instalaciones de Apache y JBoss y después realizaremos la instalación del módulo mod_jk en Apache para crear el conector entre ambos. Finalmente configuraremos ambos servidores para interactuar juntos. En esta entrada el servidor Seguir leyendo


proxy: AJP: attempt to connect to … failed

Cuando configuramos un servidor web Apache como Proxy para servir contenido de un servidor de aplicaciones (Tomcat en este caso), Apache necesita realizar conexiones de red (a puertos TCP en localhost por ejemplo). Con SELinux en modo enforcing, recibiremos el siguiente error: proxy: AJP: attempt to connect to 127.0.0.1:8989 (localhost) failed Este error significa que Seguir leyendo


Apache WebDAV interpreta los ficheros PHP al descargarlos

Un problema muy común a la hora de implementar WebDAV con Apache + PHP es que si no realizamos una configuración adicional, al intentar descargar un fichero .php desde webdav lo que descagaremos será el código interpretado y no el código fuente del fichero. Para solucionarlo podemos establecer la solución que vemos en el virtualhost Seguir leyendo