http://karpoke.ignaciocano.com/tags/seguridad-por-oscuridad/Recent content in Seguridad Por Oscuridad on Karpoke - Just Another BlogHugo -- 0.159.0esMon, 20 Jun 2011 20:47:00 +0100http://karpoke.ignaciocano.com/2011/06/20/identificando-los-plugins-de-wordpress-instalados/Mon, 20 Jun 2011 20:47:00 +0100http://karpoke.ignaciocano.com/2011/06/20/identificando-los-plugins-de-wordpress-instalados/<p>Hay un <em>script</em> para <code>nmap</code>, <a href="http://seclists.org/nmap-dev/2011/q1/att-806/http-wp-plugins.nse">http-wp-plugins</a>, que permite <a href="http://blog.alexos.com.br/?p=2302">detectar los complementos instalados en WordPress</a>.</p> <p>Dicho <em>script</em> intenta acceder a los directorios de los complementos en <code>wp-content/plugins/</code> con la ayuda de un <a href="http://seclists.org/nmap-dev/2011/q1/att-806/wp-plugins_lst_tar.gz">diccionario</a>. Si la respuesta no es un error 404 interpreta que el directorio, y por tanto el complemento, existe. La lista de complementos para WordPress es extensa, casi 13405 entradas, y podría llevar bastante tiempo analizarlas todas, por lo que las entradas están ordenadas por popularidad y por defecto sólo se escanean las 100 primeras.</p>http://karpoke.ignaciocano.com/2011/05/26/mejorando-la-seguridad-de-apache-con-varnish/Thu, 26 May 2011 19:39:00 +0100http://karpoke.ignaciocano.com/2011/05/26/mejorando-la-seguridad-de-apache-con-varnish/<p><a href="http://www.varnish-cache.org/docs/2.1/">Varnish</a> es un acelerador web, que puede ser utilizado tanto para cachear contenido estático de nuestro servidor, para balancear la carga o <a href="http://www.howtoforge.com/putting-varnish-in-front-of-apache-on-ubuntu-debian">para incrementar la seguridad</a>, por ejemplo, bloqueando cierto tipo de peticiones u ocultando cierto tipo de información.</p> <p>Se instala directamente de los repositorios:</p> <pre tabindex="0"><code>$ sudo aptitude install varnish </code></pre><p>Ahora lo configuraremos para utilizarlo como capa intermedia, delante de nuestro Apache. Editamos el fichero <code>/etc/default/varnish</code> y cambiamos:</p> <pre tabindex="0"><code>DAEMON_OPTS=&#34;-a :6081 -T localhost:6082 -f /etc/varnish/default.vcl -S /etc/varnish/secret -s file,/var/lib/varnish/$INSTANCE/varnish_storage.bin,1G&#34; </code></pre><p>por:</p>http://karpoke.ignaciocano.com/2011/03/12/ocultando-cabeceras/Sat, 12 Mar 2011 14:26:00 +0100http://karpoke.ignaciocano.com/2011/03/12/ocultando-cabeceras/<p>Tras instalar Apache, tanto en las <a href="http://karpoke.ignaciocano.com/2011/02/28/cabeceras-http-personalizadas-en-apache2/">cabeceras de la página</a>:</p> <pre tabindex="0"><code>$ curl -I localhost HTTP/1.1 200 OK Date: Sat, 12 Mar 2011 11:55:12 GMT Server: Apache/2.2.16 (Ubuntu) Last-Modified: Sat, 02 Jan 2010 00:00:23 GMT ETag: &#34;aa34-b1-47c232cbc0633&#34; Accept-Ranges: bytes Content-Length: 177 Vary: Accept-Encoding Content-Type: text/html </code></pre><p>como en las páginas de error:</p> <pre tabindex="0"><code>&lt;!DOCTYPE HTML PUBLIC &#34;-//IETF//DTD HTML 2.0//EN&#34;&gt; </code></pre><pre tabindex="0"><code>404 Not Found </code></pre><pre tabindex="0"><code>Not Found The requested URL /terminus was not found on this server. </code></pre><pre tabindex="0"><code>Apache/2.2.16 (Ubuntu) Server at localhost Port 80 </code></pre><p>se muestra la versión de Apache, y de PHP si también lo hemos instalado. Ocultar este tipo de información se conoce como seguridad por oscuridad, por lo que no es realmente seguridad, pero puede ayudar a evitar ataques automatizados.</p>