monkey-business.biz » Apache2 http://www.monkey-business.biz Belästigung der Allgemeinheit - der private Weblog Tue, 24 Jan 2012 14:53:33 +0000 en daily 4 Apache2 & Flash Uploader – Error 403http://www.monkey-business.biz/984/apache2-flash-uploader-error-403/ http://www.monkey-business.biz/984/apache2-flash-uploader-error-403/#comments Sun, 06 Jun 2010 16:31:40 +0000 Loaden http://www.monkey-business.biz/?p=984 Vielen unter euch ist sicher der Mulit Datei Upload mit Flash ein Begriff. Diese Methode ermöglicht es mehrere Dateien auf einmal auszuwählen und diese automatisch nacheinander hochladen zu lassen. Unter anderem wird diese Methode für den Dateiupload bei xt:commerce Veyton eingesetzt. Bei der Arbeit mit diesem Shopsystem ist ein Problem mit dem Flash Uploader aufgetreten. Der Apache2 Webserver meldete den Fehler 403 (Error 403). Der Fehler wurde durch den aktivierten POST Filter der Apache2 Erweiterung mod_security ausgelöst. Die einfachste Lösungsmöglichkeit war das Deaktivieren von mod_security. Hierzu wurde in die .htaccess Datei folgendes eingetragen:

<IfModule mod_security.c>
SecFilterEngine Off
</IfModule>

Mit diesen 3 Zeilen Code wird geprüft ob mod_security vorhanden ist und mod_security deaktiviert. Dadurch funktioniert der Flash Uploader wieder.

]]> http://www.monkey-business.biz/984/apache2-flash-uploader-error-403/feed/ 0 Apache2 Server Signatur ausblenden – “Security-by-Obscurity”http://www.monkey-business.biz/737/apache2-server-signatur-ausblenden-security-by-obscurity/ http://www.monkey-business.biz/737/apache2-server-signatur-ausblenden-security-by-obscurity/#comments Wed, 17 Mar 2010 16:02:25 +0000 Loaden http://www.monkey-business.biz/?p=737 Durch das Verstecken von Informationen macht man es Angreifern schwieriger etwas über das System herauszufinden. Der Apache2 zeigt dem Angreifer beim Aufruf einer nicht vorhandenen Datei vom Server welche Apache2 Server Version installiert ist, welche Patches verwendet werden und welche Interpreter auf dem Server installiert sind. Diese Informationen reichen aus um in Exploit Datenbanken nach passenden Exploits zu suchen. Das ausblenden dieser Information geht leicht von der Hand. Es gibt also keine Grund diese nicht zu verstecken.

Meine Wahl fällt dabei auf das erstellen einer weiteren Konfigurationsdatei in /etc/apache2/conf.d. Dateien in diesem Verzeichnis werden automatisiert eingelesen und für die Apache2 Einstellungen verwendet. In der Datei wird die Option ServerSignature verwendet um, wie schon am Optionsname zu erkennen, die Server Signatur auszublenden. Der Inhalt der Datei, benannt server_signature, gestaltet sich beim mir so:

ServerSignature Off
ServerTokens Prod

Es kann auch die Datei /etc/apache2/httpd.conf um diesen Eintrag zu erweitert werden anstatt eine separate Konfigurationsdatei anzulegen. Ebenfalls ist es möglich nur Teile der Server Signatur auszublenden. Mehr dazu findest du hier. Interessant ist, das die Server Variable $_SERVER['SERVER_SIGNATURE'] in PHP sich mit der Änderung der ServerSignature ändert. In den gängigen Webapplikationen wird diese Variable nicht verwendet. Ich wüsste auch keinen Einsatzbereich für diese.

ServerTokens setzt die Signatur des Servers im HTTP Response Header auf ein Minimum. Die Ausgabe beim Parameter “Prod” ist lediglich “Apache”. Ein entfernen aller Informationen zum Server ist nur mit dem editieren des Apache2 Quellcodes oder über die Erweiterung mod_security möglich. Jedoch bin nichtmal ich so paranoid diese Möglichkeit zu nutzen.

]]> http://www.monkey-business.biz/737/apache2-server-signatur-ausblenden-security-by-obscurity/feed/ 0