برنامه وب – آسیب ETag نشتی

سربرگ ETag برای ذخیره موثر منابع سرور توسط مشتری استفاده می شود. سرور یک سرصفحه ETag را در پاسخ HTTP به برخی رشته ارسال می کند و مشتری محتوای محتوای پاسخ را مخدوش می کند و رشته ای که در سربرگ ETag با آن قرار گرفته است. اگر مشتری بخواهد دوباره به همان منبع دسترسی پیدا کند، رشته داده شده را در برخی از If-None-Match در درخواست HTTP ارسال می کند و سرور تنها محتوای کامل را در صورت تغییر منبع و بازگشت در غیر این صورت به مشتری می گویند که محتوای ذخیره شده را می توان استفاده کرد. برای اطلاعات بیشتر به ویکیپدیا مراجعه کنید

این بدان معنی است که هر مشتری می تواند از یک سرور از جمله ETag دریافت کند، یعنی مقدار هدر رازدار نیست. بنابراین بر خلاف سوال شما، نشت این هدر به خودی خود مسئله نیست.

مشکل این است که اگر مقدار هدر (یعنی رشته) اطلاعاتی در مورد سرور ارائه می دهد که باید مخفی باشد. اغلب ارزش سرصفحه فقط یک محتوا بر روی محتویات منابع است که در همه مشکلی نیست. اما برای مثال سرور وب آپاچی می تواند ETag بر روی شماره یونیت، آخرین زمان اصلاح و / یا اندازه ی فایل را پایه گذاری کند. با استفاده از این اطلاعات متا، منحصر به فرد ETag می تواند بسیار سریعتر نسبت به محاسبه هش محتوا ایجاد شود. تنها حداقل حداقل مقدار inode اطلاعات داخلی به سرور محسوب می شود و نباید در معرض مشتری قرار گیرد. در حالی که در حملات قابل استفاده نمی باشد، به طور مستقیم می توان از تعداد زیادی از داده های inode برای به دست آوردن اطلاعات به عنوان مثال در مورد سیستم فایل پایه استفاده کرد که ممکن است در حملات بیشتر در برابر سرور کمک کند.

این بدان معنی است که تعداد inode نباید از سربرگ ETag قابل استخراج باشد زیرا باید مخفی باشد. این با آپاچی 1.3.27 (مدتها پیش) ثابت شده است، یعنی عدد inode هنوز هم برای محاسبه ETag استفاده می شود اما به طریقی که نمی توان از مقدار ETag استخراج کرد.

ویرایش: به عنوان مثال Rapid7 این را با شدت چهار می بینید.

نمره CVSS از چندین قسمت محاسبه می شود. جزئیات مربوط به این مشکل خاص را می توان در اینجا مشاهده کرد، اما اساسا به این می پردازد که استفاده بی اهمیت است، می تواند در شبکه انجام شود، نیازی به احراز هویت و ارائه اطلاعات داخلی در مورد سرور ندارد.

گواهی – آیا ما باید یک کلید خصوصی بر روی توزیع کننده بار داشته باشیم

ما سناریوی زیر را داریم:

  • 2 Load Balancers Serving Traffic From Web Servers
  • ما گواهی SSL با کلید خصوصی در سرورهای وب نصب کرده ایم

اکنون سوال من این است که اگر ما نیاز به تمدید گواهینامه مشابه در بارگرهای بار، نیاز دارم –

  1. فقط گواهی (.cer / .der) را بر روی ترازو بار نصب کنید

  2. گواهی را با کلید خصوصی بر روی متعادل کننده بار نصب کنید [19659007] من تعجب می کنم زمانی که یکی از همکاران من به من گفت قدم دوم. چرا باید کلید خصوصی LB را داشته باشم، زمانی که ما قبلا آن را روی سرور Backend نصب کردیم؟

بدافزار – شناسایی نوع حمله وبسایت (Meuhy.php)

ما چند سایت میزبانی شده در سرور Media Temple (MT) داریم. امروز صبح، متوجه شدیم که برخی از وب سایت ما پایین آمده است. پس از بررسی، منتشر شد که آنها به خطر افتاده اند. ساختار دایرکتوری برای MT به شرح زیر است: domains> DOMAIN-NAME> html (aka root root).

در سطح DOMAIN-NAME، یک فایل با نام Meuhy.php را مشاهده کردیم. پشتیبانی MT گفت که به نظر می رسد مانند نوعی مدیر بسته مخرب است. من یک جستجوی گوگل برای این فایل انجام دادم، اما من چیزی را پیدا نکردم که بتواند منبع آن را شناسایی کند. با این حال، متوجه شدم که آن را در سایر وب سایت ها تزریق کرده اید: https://www.google.com/search؟q=meuhy.php&oq=m&aqs=chrome.4.69i60l4j69i59j69i60.5768j0j7&sourceid=chrome&ie=UTF-8

در ریشه وب، متوجه شدیم که کد وردپرس به فایلهای index.php تزریق شده است، با این حال، همه سایتهای ما به جز یکی از سایتهای دروپال هستند. ما همچنین کشف کردیم که مجموعه ای از فایل های xml ایجاد شده است. آنها چیزی شبیه به مجموعه ای از تماس های سرور بودند. ما استفاده از GPU را بررسی کردیم و متوجه شدیم که این فایل ها تولید شده اند. گوگل آنالیته ما همچنین نشان می دهد که ترافیک در طول این زمان غیرمعمول رخ داده است.

پرسش اصلی من این است که آیا هر کسی می داند چه نوع حمله ای است و آیا باید نگران باشیم که پایگاه داده های ما به خطر افتاده باشد؟

tls – فهرست سایت هایی که هنوز HSTS پشتیبانی نمی کنند؟

من در حال کار بر روی یک مقاله برای کار و به دنبال لیستی از 500 سایت برتر (رتبه بندی شده توسط الکسا) که هنوز پشتیبانی از HSTS نیست. آیا چنین لیست وجود دارد؟ من هیچ بازدید جالب از نمایشگاه های گوگل من را دریافت نمی کنم.

به غیر از تمام وب سایت ها را به صورت جداگانه بررسی کنید ، آیا کسی میتواند راهی برای انجام این کار ارائه دهد؟

برنامه ی وب – خطرات ناشی از سوءاستفاده از کاربران / مجوز آپاچی چیست و راه درست برای انجام آن چیست؟

هر بار که آپاچی را برای تست یک اسکریپت نصب می کنم، این سوال برای من مطرح می شود. من آن را اغلب انجام نیست، اما من به یاد داشته باشید این یک نقطه درد از سال 2007 است.

بسیاری از آموزش / انجمن توصیه استفاده از:

 sudo chmod -R 777 / var / www /

اما هرگز اشاره نکنید که این برای تولید نیست یا هنوز هم توصیه می شود حتی زمانی که سؤال مشخص کند که سرور به صورت عمومی روبرو است، اما ما نمی خواهیم غریبه ها قادر به نوشتن پرونده ها در سرور ما باشند

راه حل دیگری پیدا شد تغییر صاحب پوشه به کاربر شما، و سپس تغییر مجوز:

 sudo chgrp joe / var / www / html
sudo chmod 775 / var / www / html
sudo chown -R joe / var / www / html / *

اما داشتن مالکیت فایل های به صورت عمومی و در حال اجرا من را به عنوان یک عمل بد عمل می کند، نه همه فایلی که ممکن است در این پوشه ایجاد کنیم متعلق به کاربر ما خواهد بود.

پیامدهای این و دیگر رفتارهای بد ؟ راه های صحیح تنظیم مجدد کاربران / مجوز یک وب سرور روبرو می شوند؟