HackerSecret.it - Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

  • Home
  • Visita il Nostro Shop
  • Scarica l’App gratuita
VISITA IL NOSTRO SHOP ! CLICCA QUI !

Mettere in sicurezza un web server Apache – Noob guide, parte 1

da Lo Staff di HackerSecret.it / sabato, 27 Luglio 2019 / Pubblicato il Hacking
Share
Tweet
Pin

Un web server è un’applicazione fondamentale per gestire le richieste di trasferimento di pagine web da parte di un browser (client).
L’interazione client-server è alla base del funzionamento di internet.
Apache HTTP Server, giunto oggi alla versione 2.4.39, è uno dei web server più utilizzati.

Un web server è esposto ad attacchi di diverso tipo: DoS o SQL injection, deface, attacchi password, redirect DNS etc.
In questa mini guida non affronteremo i vari tipi di attacchi, ma daremo delle indicazioni pratiche per mettere in sicurezza un web server Apache HTTP. Nel dettaglio si discuterà di come rendere più sicuro un web server Apache 2.4.x su un sistema UNIX con Ubuntu 19.04

In un report di Positive Technologies pubblicato quest’anno (2019) è emerso che oltre il 70% delle applicazioni web presenta vulnerabilità che nel 19% dei casi possono portare un malintenzionato a prendere il controllo completo dell’applicazione.
Molte di queste vulnerabilità si trovano lato server ed è per questo che è di fondamentale importanza occuparsi della messa in sicurezza da subito.

Non è importante mettere in sicurezza un server web solamente nel caso offra accesso a dati sensibili (carte di credito, informazioni riservate, dati personali etc.), ma anche per la reputazione dei siti web che ospita e per la sicurezza degli utenti.
Immaginiamo un redirect dns che punta ad un sito web differente con phishing o materiale pornografico. Oppure immaginiamo un malware di qualsiasi genere installato sul sito web. Senza ombra di dubbio il danno può essere evidente anche se non gestiamo dati sensibili.

La prima cosa da modificare, per rendere la vita meno facile ai pirati informatici è nascondere nome e versione di Apache e il browsing della directory.

Figura 1 – contenuti e informazioni del server sono esposti di default

Per farlo è necessario modificare tre parametri di configurazione di Apache. Nel nostro caso si trovano tutti e tre nel file /etc/apache2/conf-available/security.conf
Il primo parametro da modificare è ServerSignature che di default è impostato su On.

ServerTokens mostra invece varie informazioni a seconda del parametro impostato:

  • Full (or not specified) – Server: Apache/2.4.18 (UNIX) PHP/7.0.25
  • Prod (or ProductOnly) – Server: Apache
  • Major – Server: Apache/2
  • Minor – Server: Apache/2.4
  • Min (or Minimal) – Server: Apache/2.4.18
  • OS – Server: Apache/2.4.18 (UNIX)

Non meno importante è TraceEnable che permette un attacco Cross Site Tracing con un potenziale rischio di fornire informazioni sui cookie con una richiesta TRACE.

La miglior configurazione per la massima sicurezza è pertanto ServerSignature Off, ServerTokens Prod e TraceEnable off
Da terminale scrivere il seguente comando:

sudo gedit /etc/apache2/conf-available/security.conf

Una volta effettuata la modifica (figura 2) salvare il file.

Figura 2 – ServerSignature Off, ServerTokens Prod, TraceEnable Off

Per disabilitare il browsing della directory (che nel nostro caso è /var/www/) è necessario aprire un altro file di configurazione che è /etc/apache2/apache2.conf

Da terminale scrivere pertanto il seguente comando:

sudo gedit /etc/apache2/apache2.conf

indexes
Figura 3 – Impedire il browsing della directory

Rimuovere la voce “indexes” evidenziata nella Figura 3, dopo di che salvare e riavviare Apache con il comando:

sudo systemctl reload apache2

Il risultato sarà adesso un Forbidden access (Figura 4).

Figura 4 – Forbidden access

L’articolo Mettere in sicurezza un web server Apache – Noob guide, parte 1 proviene da F-Hack.

F-Hack

Share
Tweet
Pin
Taggato in: Apache, Guide, mettere, NOOB, parte, Server, Sicurezza

Clicca subito qui per visitare il nostro Shop!

Clicca subito qui per visitare il nostro Shop!

Altri 2300 utenti come te lo hanno già fatto quest'anno!

Clicca qui per contattarci con Whatsapp

Clicca qui per contattarci con Whatsapp

Clicca qui per contattarci con Telegram

Clicca qui per contattarci con Telegram

Dicono di Noi

Francesca M. – Sistemista

Share
Tweet
Pin
 
Samuel D. – Hacker Etico

Share
Tweet
Pin
 
Carola M. – Influencer

Share
Tweet
Pin
 
Renato P. – Investigatore Privato

Share
Tweet
Pin
 
Rosaria S. – Casalinga

Share
Tweet
Pin
 
Paolo V. – Consulente Informatico

Share
Tweet
Pin
 
Matteo C. – Imprenditore

Share
Tweet
Pin
 
Alice B. – Studentessa di Informatica

Share
Tweet
Pin
 
Goffredo B. – Analista IT

Share
Tweet
Pin
 
Roberto C. – Programmatore

Share
Tweet
Pin
 

SCARICATA 1316 VOLTE!

SCARICATA 1316 VOLTE!

Scarica subito Hacker Secret la nostra app Android gratuita.

Serve aiuto? Contattaci subito!

Contact Us
Scrivi il tuo indirizzo email qui
Scrivi qui come possiamo aiutarti - ti supportiamo immediatamente per ogni tua esigenza!

## Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? ##

Contattaci subito…altri 2300 utenti come te lo hanno già fatto quest’anno!

Clicca subito qui!

Cerca nel Sito

Gli ultimi articoli

  • I più famosi hacker italiani

  • Cos’è l’informatica forense?

  • Come capire se ti spiano il cellulare?

  • Il concetto di sicurezza informatica

  • Metasploit tutorial in italiano

Tutte le tecniche, i prodotti e i servizi descritti o contenuti in questo sito si intendono per uso esclusivo di studio e di aggiornamento professionale e per testare la sicurezza della propria rete informatica in accordo alle vigenti normative sull'accesso a sistemi informativi e telematici (cfr. art. 615 ter c.p. e successive modifiche).

TORNA SU
Nuovo Ordine!