PHP seguridad web, securizar aplicación

Posted on 15 noviembre, 2015 by Juan Carlos Molinos

Algunas veces debemos administrar aplicaciones PHP que para nuestra sorpresa han sido hackeadas, han sustituido la página de inicio, añadido código en la cabecera de la página, insertado código malicioso entre los ficheros de la aplicación (por ejemplo para enviar email spam), etc…

Dejo algunas imágenes:

Este tipo de ataques es más probable sufrirlos si nuestra aplicación es algo relativamente popular, WordPress, Joomla, Drupal, etc…

El plan de mejora de seguridad incluye los procesos:

Modificar la configuración de Apache, la idea es reducir al máximo la información publicada.
Modificar la configuración de PHP, veremos algunos parámetros muy interesantes.
Modificación de la propiedad de los ficheros de DocumentRoot que componen la aplicación
Denegar la ejecución de ciertos programas desde el usuario que ejecuta Apache.

Vamos por partes:

Continue reading →

Apache SSL JBoss, securizar canal de comunicación Apache y JBoss mediante SSL

Posted on 15 noviembre, 2013 by Juan Carlos Molinos

Recientemente un cliente ha pedido una instalación securizada en en todo el cirtucito de información, es decir:

Usualmente lo que se hace el configurar Apache con SSL y la comunicación interna entre Apache y JBoss se realiza con el protocolo AJP, de esta forma:

El protocolo AJP tiene como ventaja frente al http, que es una comunicación binaria en lugar de texto, este reduce el ancho de banda necesario para transmitir la misma información (se estima que se reduce el ancho de banda necesario en un 25%).

Continue reading →

Apache SSL certificado cliente, configurar Apache para permitir solo accesos SSL con certificado instalado en cliente

Posted on 10 abril, 2013 by Juan Carlos Molinos

Vamos a configurar Apache (sobre un Ubuntu 12) para permitir el acceso de clientes que tengan un certificado SSL personal instalado, primero tenemos que crear algunas estructuras para poder más tarde trabajar con listas de revocación.

Lo primero es tener instalado openssl:

ubuntu@ip-10-112-31-82:~$ sudo aptitude install openssl

Crearemos una estructura de directorios que se ajuste a las rutas esperadas por el fichero de configuración openssl.cnf:

Source

ubuntu@ip-10-112-31-82:~$ mkdir -p /vol/apache2_certs
ubuntu@ip-10-112-31-82:~$ cd /vol/apache2_certs/
ubuntu@ip-10-112-31-82:/vol/apache2_certs$ sudo cp /etc/ssl/openssl.cnf .

El fichero openssl.cnf define una estructura de directorios para poder trabajar entre otras cosas con listas de denegación de certificados, vamos a editarlo y moficicar la linea:

Continue reading →

Administrando Sistemas

Historias reales sobre: administración de sistemas operativos, bases de datos y servidores de aplicaciones

Tag Archives: Apache

PHP seguridad web, securizar aplicación

Apache SSL JBoss, securizar canal de comunicación Apache y JBoss mediante SSL

Apache SSL certificado cliente, configurar Apache para permitir solo accesos SSL con certificado instalado en cliente