September 26, 2014
Kommentieren

ShellShock

Die ShellShock Verwundbarkeit ist dieses Jahr nach Heartbleed bereits die zweite Sicherheitslücke, die eine breite Medien-Abdeckung erhielt. Vor allem in Verbindung mit einem schlechten Design (CGIs) kann es vorkommen, dass man über diesen Bug beliebige Kommandos im User-Kontext ausführen kann. Wenn … Continue reading

April 9, 2014
Kommentieren

OpenSSL Heartbleed

Über eine äusserst kritische Schwachstelle in gängigen OpenSSL Versionen können Inhalte fremder SSL Sessions sowie private Zertifikatsschlüssel remote im Klartext ausgelesen werden. Exploits sind verfügbar und einfach anzuwenden. Der potenzielle Schaden ist immens. Gravity erkennt die Schwachstelle seit Dienstag in … Continue reading

Februar 19, 2014
1 Kommentar

nginx: HTTP Header filtern und ändern

Um mehr Kontrolle über die HTTP Header im nginx zu erhalten, empfiehlt sich das Modul ngx_headers_more. Wurde dieses erfolgreich mit kompiliert, kann zum Beispiel der Server Banner beliebig überschrieben werden: more_set_headers „Server: MyWebServer“; Das Entfernen von Header Einträgen geschieht via … Continue reading

Dezember 6, 2013
Kommentieren

HTTP Methoden deaktivieren

Damit ein Browser mit einem Webserver kommunizieren kann, stellt der Webdienst HTTP Methoden zur Verfügung. Zu den gebräuchlichsten gehören GET und POST. Das HTTP Protokoll kennt eine Reihe weiterer Methoden („verbs“), welche seltener gebraucht werden, jedoch für Angreifer nützlich sind. … Continue reading

November 29, 2013
Kommentieren

nginx: HTTP Methoden deaktivieren

Um dem nginx Webserver mitzuteilen, welche HTTP Methoden akzeptiert werden sollte, muss folgenden Konfiguration gesetzt werden: if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 444; } Im obigen Beispiel werden explizit die Methoden GET, HEAD und POST zugelassen. Alle anderen Methoden … Continue reading

August 8, 2013
Kommentieren

SSL/TLS Versionen erkennen

Bietet ein Dienst eine verschlüsselte Verbindung an, werden aus Kompatibilitätsgründen meist mehrere Verschlüsselungsoptionen auf unterschiedlichem kryptographischen Niveau angeboten. Ein schneller Test für Webserver lässt sich einfach über unseren kostenlosen SSL Checker durchführen. Falls sie andere Services oder Ports testen wollen, … Continue reading