Domande con tag 'apache'

domande con tag
2
risposte

È possibile sfruttare un caricamento di file con whitelist e hashing del nome del file?

Ho una piccola applicazione web. Poiché è necessario caricare alcuni file, controllo le estensioni di file con una lista bianca (tgz, jpg, png, pdf, zip, rar, txt, gif, py, c, rb). In aggiunta a ciò, ho cancellato i nomi dei file con md5 quindi...
posta 18.11.2014 - 18:05
1
risposta

Carica un file nella directory con accesso pubblico in scrittura

So che non è giusto impostare un permesso per la cartella come 777, ma se è fatto così sarà possibile caricare un file in quella directory senza accesso ftp? Ecco cosa intendo Diciamo che l'elenco delle directory non è disabilitato da apache...
posta 12.01.2015 - 07:05
1
risposta

L'htaccess è abbastanza sicuro per autorizzare gli IP dei client?

Sto utilizzando .htaccess per controllare l'IP di origine delle connessioni alla mia applicazione web. La mia configurazione sembra più o meno così: order deny,allow deny from all allow from X.Y.Z.Q In questi giorni possiamo...
posta 10.01.2014 - 10:52
1
risposta

Apache, DocumentRoot e path traversal - / manual / query

Uno scanner PCI di un client è attualmente in grado di mostrare un potenziale exploit di attraversamento del percorso. La radice del documento è impostata su / home / somefolder / somewebfoldername / ANCORA, visitando ourwebsite.com/manual vi...
posta 03.04.2014 - 14:01
2
risposte

Quali sono le caratteristiche comuni per identificare l'attacco CSRF dal file di registro di Apache?

Ho provato l'attacco CSRF sull'applicazione di vulnerabilità web conosciuta come DVWA sul mio localhost e sul sistema operativo Kali Linux. Ho cambiato la password su questa applicazione utilizzando CSRF. Ha raccolto le seguenti voci di registro...
posta 16.12.2018 - 21:19
2
risposte

mod_spamhaus whitelist esempio per consentire un intervallo di ips

Come apparirebbe una whitelist di esempio, che autorizzerebbe una lista bianca intervallo di tutti gli IP da 123.123.0.0 - 123.123.255.255 ? Ho il whitelistfile in /etc/spamhaus.wl     
posta 04.02.2013 - 09:22
1
risposta

Memorizzazione dei log di Apache in docroot

Ho un cliente che ospita più siti in Apache. Stanno memorizzando access.log di ogni sito e error.log nel docroot sotto logs /, e sono accessibili pubblicamente tramite il web. Per me, sembra una cattiva pratica, ma non ho argomenti validi sul...
posta 25.04.2018 - 18:00
1
risposta

Vulnerabilità Oracle (CVE-2016-2107) su haproxy + Apache + (AWS vs hosting privato)

Abbiamo un sistema di produzione ospitato privatamente e una macchina AWS che usiamo per testare. Entrambi i sistemi hanno la stessa struttura: Terminazione SSL con haproxy, passaggio a un server Apache che ospita un sito Web di rotaie p...
posta 16.05.2017 - 16:41
1
risposta

XAMPP / Chrome net :: ERR_CERT_INVALID su VALID Certificate Chain

Ho impostato la mia CA principale e le CA intermedie per i miei siti locali (siti virtuali). Li ho anche installati su certificati attendibili sul mio computer e anche sulle CA intermedie sulla loro cartella nel mercato cert del mio computer....
posta 04.05.2017 - 16:14
1
risposta

Bloccando slowloris usando fail2ban, quali sono i parametri corretti?

Ho una regola fail2ban per i registri di Apache2 che assomiglia a questa: [Definition] failregex = ^[^ ]+ <HOST> .* \[\] "[^\"]*" 408 \d+ Questo rileva gli errori 408 che si verificano quando scade una connessione TCP. La seguente...
posta 07.04.2017 - 23:36