September 26, 2014
Kommentieren

ShellShock

Die ShellShock Verwundbarkeit ist dieses Jahr nach Heartbleed bereits die zweite Sicherheitslücke, die eine breite Medien-Abdeckung erhielt. Vor allem in Verbindung mit einem schlechten Design (CGIs) kann es vorkommen, dass man über diesen Bug beliebige Kommandos im User-Kontext ausführen kann. Wenn … Continue reading

Februar 19, 2014
1 Kommentar

nginx: HTTP Header filtern und ändern

Um mehr Kontrolle über die HTTP Header im nginx zu erhalten, empfiehlt sich das Modul ngx_headers_more. Wurde dieses erfolgreich mit kompiliert, kann zum Beispiel der Server Banner beliebig überschrieben werden: more_set_headers „Server: MyWebServer“; Das Entfernen von Header Einträgen geschieht via … Continue reading

Dezember 6, 2013
Kommentieren

HTTP Methoden deaktivieren

Damit ein Browser mit einem Webserver kommunizieren kann, stellt der Webdienst HTTP Methoden zur Verfügung. Zu den gebräuchlichsten gehören GET und POST. Das HTTP Protokoll kennt eine Reihe weiterer Methoden („verbs“), welche seltener gebraucht werden, jedoch für Angreifer nützlich sind. … Continue reading

November 29, 2013
Kommentieren

nginx: HTTP Methoden deaktivieren

Um dem nginx Webserver mitzuteilen, welche HTTP Methoden akzeptiert werden sollte, muss folgenden Konfiguration gesetzt werden: if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; } Im obigen Beispiel werden explizit die Methoden GET, HEAD und POST zugelassen. Alle anderen Methoden … Continue reading

Mai 13, 2013
Kommentieren

Apache: HTTP Methoden deaktivieren

Um beim Apache Webserver die HTTP Methoden zu erlauben oder zu unterbinden, sollte die LIMIT Direktive verwendet werden. Ein Beispiel: <Limit TRACE OPTIONS> Require valid-user </Limit> Auf diese Weise können die Methoden TRACE und OPTIONS nur von einem authentifizierten Benutzer … Continue reading