Protéger un serveur web Apache2 avec suEXEC et suPHP

Posted by: Yann C.  /   Category: Administration réseaux et systèmes / OS   /   7 commentaires
25
nov.
2012

Sur la plupart des services d'hébergement mutualisés actuels, chaque site est indépendant des autres au niveau de l'utilisateur Apache. En effet, lors du déploiement basique d'un serveur web, l'utilisateur sous lequel fonctionne le démon est la plupart du temps "www-data", "nobody" ou "apache". Cela signifie que si plusieurs sites existent sous la même instance d'Apache,.

Read more
20
nov.
2012

Il y a quelques temps il me devenait nécessaire de sécuriser un serveur Apache2 sous environnement Debian/Ubuntu Server de manière assez restrictive. Celui-ci dispose bien évidemment de MySQL5, PHP5 et de diverses autres bibliothèques. L'objectif était de déployer un mini-service d'hébergement composé de plusieurs sites, tous aussi différents les uns que les autres. Certains de ces.

Read more

[CSRF RCE] m0n0wall 1.33 Remote root Access

Posted by: Yann C.  /   Category: Administration réseaux et systèmes / BSD / CSRF / RCE / Vulnérabilités, exploits et PoC   /   Pas de commentaire
16
nov.
2012

Une vulnérabilité de type CSRF RCE permettant l'obtention d'un shell root a été découverte sur m0n0wall. m0n0wall est une distribution très légère (environ 10Mo) qui fait office de routeur/firewall basée sur FreeBSD et jugée d'une grande fiabilité. Elle a d'ailleurs donné naissance à divers projets comme pfSense. Fournissant une interface.

Read more
01
nov.
2012

Au lendemain d'Halloween, il me fallait bien marquer le coup. Plutôt que d'appliquer le célèbre adage anglais "Trick or T(h)reat" pour l'occasion, laissez moi vous détailler de manière synthétique différentes techniques qui vous aideront peut être à l'avenir, et vous sensibiliseront en même temps lorsqu'elles sont exploitées par des assaillants. J'ai souhaité centraliser certaines des.

Read more