Mod_headers

HTTP Strict Transport Security (HSTS) es un mecanismo de seguridad web donde el servidor exige que las conexiones se realicen únicamente mediante conexiones seguras. El servidor informa de esta política de seguridad utilizando la cabecera Strict-Transport-Security, en donde se especifica el periodo durante el cual las conexiones seguras son obligatorias. Si una web proporciona acceso seguro (HTTPS) pero accedemos de forma no segura (HTTP) podría suceder que nos redirija a la versión segura, sin embargo, ya se había iniciado una conversación sin cifrar. Este comportamiento puede ser explotado por un ataque Man-In-The-Middle. ...

Una vulnerabilidad descubierta por kingcope permite que los servidores Apache vulnerables sean susceptibles de sufrir una denegación de servicio. La vulnerabilidad se encuentra en el uso de la cabecera Range. Esta cabecera se utiliza para obtener sólo una parte de la página. Si se solicitan varias partes además de pedir que la respuesta se comprima, mediante la cabecera Accept-Encoding: gzip, se dispara el consumo de procesador y memoria. Existe un script que permite comprobar si el servidor es vulnerable y, si es el caso, explotar dicha vulnerabilidad. ...

Podemos modificar las cabeceras que devuelve el Apache usando el módulo mod_headers. Por ejemplo, añadiendo a nuestro virtualhost: Header set X-MyHeader "It took %D microseconds to serve this page." Se pueden modificar tanto las cabeceras que van a ser enviadas, con la directiva Header, como las que vienen con una petición, con la directiva RequestHeader. Las acciones que se pueden llevar a cabo son: set, especifica el valor de la cabecera, la crea si no existía o la modifica en caso contrario append, añade el valor al final de la cabecera existente, y separa los valores por comas add, añade una cabecera, duplicando la cabecera si ésta ya existía unset, elimina una cabecera echo, sólo en el caso de la directiva Header, y permite utilizar el valor de una cabecera en el `request` Este es el resultado: ...