http://karpoke.ignaciocano.com/tags/mod_headers/Recent content in Mod_headers on Karpoke - Just Another BlogHugo -- 0.159.0esSun, 11 Sep 2011 17:37:00 +0100http://karpoke.ignaciocano.com/2011/09/11/http-strict-transport-security/Sun, 11 Sep 2011 17:37:00 +0100http://karpoke.ignaciocano.com/2011/09/11/http-strict-transport-security/<p><a href="http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security">HTTP Strict Transport Security</a> (HSTS) es un mecanismo de seguridad web donde el servidor exige que las conexiones se realicen únicamente mediante conexiones seguras. El servidor informa de esta política de seguridad utilizando la cabecera <code>Strict-Transport-Security</code>, en donde se especifica el periodo durante el cual las conexiones seguras son obligatorias.</p> <p>Si una web proporciona acceso seguro (HTTPS) pero accedemos de forma no segura (HTTP) <a href="http://hacks.mozilla.org/2010/08/firefox-4-http-strict-transport-security-force-https/">podría suceder que nos redirija a la versión segura</a>, sin embargo, ya se había iniciado una conversación sin cifrar. Este comportamiento puede ser explotado por un ataque <em>Man-In-The-Middle</em>.</p>http://karpoke.ignaciocano.com/2011/08/31/denegacion-de-servicio-en-apache-utilizando-la-cabecera-range/Wed, 31 Aug 2011 14:19:00 +0100http://karpoke.ignaciocano.com/2011/08/31/denegacion-de-servicio-en-apache-utilizando-la-cabecera-range/<p>Una <a href="http://issues.apache.org/bugzilla/show_bug.cgi?id=51714">vulnerabilidad descubierta por <em>kingcope</em></a> permite que los servidores Apache vulnerables sean susceptibles de sufrir una denegación de servicio.</p> <p>La vulnerabilidad se encuentra en el uso de la cabecera <code>Range</code>. Esta cabecera se utiliza para obtener sólo una parte de la página. Si se solicitan varias partes además de pedir que la respuesta se comprima, mediante la cabecera <code>Accept-Encoding: gzip</code>, se dispara el consumo de procesador y memoria.</p> <p>Existe un <a href="http://seclists.org/fulldisclosure/2011/Aug/att-175/killapache_pl.bin"><em>script</em></a> que permite comprobar si el servidor es vulnerable y, si es el caso, explotar dicha vulnerabilidad.</p>http://karpoke.ignaciocano.com/2011/02/28/cabeceras-http-personalizadas-en-apache2/Mon, 28 Feb 2011 20:28:00 +0100http://karpoke.ignaciocano.com/2011/02/28/cabeceras-http-personalizadas-en-apache2/<p>Podemos modificar las cabeceras que devuelve el Apache usando el módulo <code>mod_headers</code>. Por ejemplo, añadiendo a nuestro <em>virtualhost</em>:</p> <pre tabindex="0"><code>Header set X-MyHeader &#34;It took %D microseconds to serve this page.&#34; </code></pre><p>Se pueden modificar tanto las cabeceras que van a ser enviadas, con la directiva <code>Header</code>, como las que vienen con una petición, con la directiva <code>RequestHeader</code>. Las acciones que se pueden llevar a cabo son:</p> <ul> <li><code>set</code>, especifica el valor de la cabecera, la crea si no existía o</li> </ul> <pre tabindex="0"><code>la modifica en caso contrario </code></pre><ul> <li><code>append</code>, añade el valor al final de la cabecera existente, y separa</li> </ul> <pre tabindex="0"><code>los valores por comas </code></pre><ul> <li><code>add</code>, añade una cabecera, duplicando la cabecera si ésta ya existía</li> <li><code>unset</code>, elimina una cabecera</li> <li><code>echo</code>, sólo en el caso de la directiva <code>Header</code>, y permite utilizar</li> </ul> <pre tabindex="0"><code>el valor de una cabecera en el `request` </code></pre><p>Este es el resultado:</p>