leine.info » Sicherheit http://leine.info Discover my public and private World. Thu, 22 Dec 2011 13:57:16 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 Apache 2 Header Bug führt zum System Stillstand http://leine.info/2011/08/apache-2-header-fehler-fuhrt-zum-system-stillstand/ http://leine.info/2011/08/apache-2-header-fehler-fuhrt-zum-system-stillstand/#comments Thu, 25 Aug 2011 13:20:44 +0000 jleine http://leine.info/?p=393 Continue reading ]]> Leider musste ich heute auf heise.de einen ziemlich beunruhigend Artikel über den apache 2 lesen. Momentan gibt es einen Bug im Apache, der das komplette System zum Stillstand bringt.

Nachzulesen hier:
http://www.heise.de/newsticker/meldung/Tool-bringt-Apache-Webserver-zum-Stillstand-1329986.html

Da ich ebenfalls davon betroffen bin, hab ich gleich mal ein paar Foren und Blogs nach einer Lösung durchsucht, um letztendlich auf folgende header Modul Lösung zu stoßen.

in /etc/apache2/conf.d eine Datei header.conf mit folgendem Inhalt anlegen:

SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

Anschließend muss man, falls nicht aktiv, noch das headers Modul des Apaches aktivieren.

a2enmod headers
/etc/init.d/apache2 restart

Damit sollte man vor diesem Bug sicher sein, zumindest wenn man Root Zugriff hat. Wir immer keine Garantie oder Gewährleistung von mir. Falls ihr was besseres habt immer her damit.

]]> http://leine.info/2011/08/apache-2-header-fehler-fuhrt-zum-system-stillstand/feed/ 1 Web Application und Webserver Security http://leine.info/2011/07/web-application-und-webserver-security/ http://leine.info/2011/07/web-application-und-webserver-security/#comments Fri, 01 Jul 2011 08:28:56 +0000 jleine http://leine.info/?p=385 Continue reading ]]> In letzter Zeit habe ich mich mit der Sicherheit von Webapplikationen beschäftigt. Eine erste Adresse ist das Open Web Application Security Project, kurz OWASP. Die OWASP veröffentlicht pro Jahr immer eine TOP 10 Liste der meisten Gefahren für Webentwickler. In dieser Liste findet man neben den üblichen Verdächtigen wie SQL-Injection, CSRF und XSS auch eher vernachlässigte Themen wie z.B. “Unvalidated Redirects and Forwards”.
Jeder Sicherheitsaspekt wird hierbei kurz erläutert. Neben Hinweisen, um überhaupt festzustellen ob die eigene Webapplikation anfällig dafür ist, werden auch noch Lösungswege aufgezeichnet. Doch nicht nur die Entwicklung von Webapplikationen wird durchleuchtet. Neben dieser TOP 10 Liste werden noch andere Themenbereiche angesprochen. Dabei hat mir der Artikel “Securing Tomcat” sehr gut gefallen. Der Artikel geht dabei auf die Sicherheitseinstellungen des Servers ein und liefert zahlreiche Anleitungen zur Absicherung. Jeder der einen eigenen Tomcat betreibt sollte diesen Artikel gelesen haben.

]]> http://leine.info/2011/07/web-application-und-webserver-security/feed/ 1 Die TOP-25 der gefährlichsten Programmierfehler http://leine.info/2009/01/die-top-25-der-gefahrlichsten-programmierfehler/ http://leine.info/2009/01/die-top-25-der-gefahrlichsten-programmierfehler/#comments Mon, 12 Jan 2009 11:56:40 +0000 jleine http://leine.info/wordpress/?p=8 Continue reading ]]>
  • XSS
  • CSRF
  • SQL Injection
  • OS Command Injection

    • Jeder der diese Begriffe liest wird hoffentlich ein wenig aufschrecken. Wenn nicht dann kann ich jedem Entwickler nur empfehlen schnell dem Link zu folgen.

    Auf meinen täglichen Streifzug durch das Internet habe ich heute die Top 25 Most Dangerous Programming Errors Liste des CEW entdeckt.Dies interessiert mich natürlich ungemein, denn schließlich plagt den gestressten Programmierer, wie mich, immer ein wenig das schlechte Gewissen, die ein oder andere Sicherheitslücke einzubauen.Von daher kann ich nur jeden empfehlen die Liste kurz zu überfliegen. Vielleicht hilft es dem ein oder anderen dabei den nächsten XSS zu verhindern.

    ]]>     http://leine.info/2009/01/die-top-25-der-gefahrlichsten-programmierfehler/feed/ 0