mod_macro - Apache HTTP Server Version 2.4
Summary Provides macros within Apache httpd runtime configuration files, to ease the process of creating numerous similar configuration blocks. When the server starts up, the macros are expanded using the provided parameters, and the result is processed as along with the rest of the configuration file. Usage Macros are defined using <Macro> blocks, which contain the portion of your configuration t
Apacheが最新版(2.4.41)かどうかを確認する方法
こんにちは。EGセキュアソリューションズの社長の徳丸です。 今日は、Apacheが本稿執筆時点での最新版 2.4.41 であるかを確認する方法を公開しちゃいます。 はじめに 脆弱性診断の一環で、サーバーソフトウェアのバージョンを確認したいというニーズがあります。今どき、Apache等のServerヘッダにバージョンが出ていることはまずない(…とも言えず実はよくある)ので、Serverヘッダ以外からソフトウェアのバージョンを確認する方法が知られています。以下はその例です。 Apache HTTP Serverのバージョンを当てる方法 僕が調べたApacheバージョン判定の小ネタ 診断文字列を打ち込まずにPHPのバージョンを推測する 2番目の、とある診断員さんの記事は、Apache 2.2のすべてのバージョンをビルドして確認する方法が具体的に説明されています。そして、上の2つの記事はApach
mod_rewriteでURL末尾に付いた「?」を取る - モーグルとカバとパウダーの日記
アクセスされたURLが例えば「http://example.jp/foo/?」のように「?」だけで他のクエリパラメータがついていない場合にだけ、mod_rewriteで「http://example.jp/foo/」に直したいという要望がありました。 このURLはクエリが渡される場合があるため、単にクエリを全部消す、というだけでは満たされない条件です。 RewriteRuleがマッチングする文字列にはクエリ文字列が含まれないため単純に RewriteRule (.*/)\?$ $1 [L,R]のように末尾の「/?」とマッチさせるように書いても、「/foo/」のように末尾の「?」がないものと比較されてしまうのでマッチしません。 REQUEST_URIやREQUEST_FILENAMEにもクエリ文字列は含まれていないため、検知できません。 じゃあとQUERY_STRINGと比較しても、QUER
HTTP/2とTLSの間でapacheがハマった脆弱性(CVE-2016-4979) - ぼちぼち日記
0. 短いまとめ 昨晩apache2.4でHTTP/2利用時にTLSクライアント認証をバイパスする脆弱性(CVE-2016-4979)が公表され、対策版がリリースされました。 実際に試すと Firefoxで認証バイパスができることが確認できました。 HTTP/2でTLSのクライアント認証を利用するには仕様上大きな制限があり、SPDY時代から長年の課題となっています。 この課題を解決するため、Secondary Certificate Authentication in HTTP/2という拡張仕様が現在IETFで議論中です。 1. はじめに ちょうど昨晩、apache2.4のhttpdサーバの脆弱性(CVE-2016-4979)が公開され、セキュリティリリースが行われました。 CVE-2016-4979: X509 Client certificate based authenticatio
Apacheのmod_rewriteモジュールの使い方を徹底的に解説
はじめて利用する方でも分かるように、一から徹底的に解説します リダイレクトやURLの書き換えを行うmod_rewrite。 呪文のように難しい記述に、何をやっているのか分からない挙動。 私自身、自動で生成されるものを利用したり、コピペで済ませていました。 しかし、とある案件でmod_rewriteについて学ぶ機会があったので、良い機会だと思い、mod_rewriteの使い方をまとめてみました。 目次 mod_rewriteの初期設定とログの表示方法 mod_rewriteの初期設定 ログファイルの設定 各ディレクティブの解説 RewriteBaseディレクティブ RewriteCondディレクティブ RewriteCondの後方参照について テスト文字列に利用できる環境変数の一覧 条件パターンの一覧 オプションの一覧 RewriteEngineディレクティブ RewriteMapディレクテ
Apache 2.4のアクセス制御をもうちょっとマジメに見てみた
この記事は1年以上前の古い記事です。現状に即していない記述の場合があります。あらかじめご了承ください。 _ おとといのエントリ「Apache 2.4にしたらコンテンツがForbiddenになった。そして直した」で「直した」と書いたけれど適当すぎたのでマジメに見なおしてみた。 参考 mod_authz_core - Apache HTTP Server: https://httpd.apache.org/docs/2.4/mod/mod_authz_core.html Apache 2.4 Require - どさにっき: http://ya.maya.st/d/201202c.html#s20120226_1 まず「Upgrading to 2.4 from 2.2 - Apache HTTP Server」を見ると2.2から2.4の変更で 2.2 configuration: Order
Apache2.2の設定ファイルをApache2.4に移植するためにやったことまとめ - Qiita
Apache2.2からApache2.4 に移行する場合、設定ファイルをそのまま持ってきても動きません。 数日格闘したら解決できたのですが、 これからやる人が同じ苦労をしなくてすむようにノウハウを記録しておきます。 下記は、Apache2.2/CentOS6 から Apache2.4/CentOS7 に移行するための方法です。 他のディストリビューションでも似たようなものだと思います。 公式マニュアルを見ておきましょう 2.2 -> 2.4 アップグレードガイドがあります。 http://httpd.apache.org/docs/2.4/new_features_2_4.html http://httpd.apache.org/docs/2.4/upgrading.html ただ、すごく分かりにくいのと、CentOS固有(ディストリ固有)の情報は書いてないので、実際に動かしてエラーを1個
Apacheセキュリティ設定 - Qiita
cat << _EOF_ > /etc/httpd/conf.d/security.conf # バージョン情報の隠蔽 ServerTokens ProductOnly Header always unset "X-Powered-By" # httpoxy 対策 RequestHeader unset Proxy # クリックジャッキング対策 Header always set X-Frame-Options "SAMEORIGIN" # XSS対策 Header always set X-XSS-Protection "1; mode=block" Header always set X-Content-Type-Options "nosniff" # XST対策 TraceEnable Off <Directory /var/www/html> # .htaccess の有効化 Al
Redirecting to ssl-config.mozilla.org...
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
Apache 2.4 設定ファイルの記述例 - Qiita
############## ## 以上省略 ## ############## <IfModule unixd_module> # # If you wish httpd to run as a different user or group, you must run # httpd as root initially and it will switch. # # User/Group: The name (or #number) of the user/group to run httpd as. # It is usually good practice to create a dedicated user and group for # running httpd, as with most system services. # User apache Group apache
ApacheのDirectoryIndexをモダンかつ便利にする「LastAutoIndex」:phpspot開発日誌
Project-CleverWeb/LastAutoIndex GitHub ApacheのDirectoryIndexをモダンかつ便利にする「LastAutoIndex」 Apacheでディレクトリ一覧を表示する設定にしている場合、ファイルの一覧がブラウザ経由で見れますが、あのデザインを次のようにモダンかつ、検索可能にするPHPスクリプトです。 現在表示している階層をフィルタする以外にサブディレクトリを検索する機能もあるようです。 性質上利用にあたってはセキュリティに注意が必要かとは思いますが、通常のDirectoryIndexよりははるかに見やすくて便利です。 関連エントリ PHPフレームワークにTwitter,Facebook等の認証を速攻実装できる「Opauth」 PHPでのスクレイピングやDOM操作をjQueryっぽく超簡単便利にできる「phpQuery」
.htaccess の書き方
.htaccess とは.htaccess のルールファイル名コメントアウト文字コードと改行httpd.conf転送と有効範囲正規表現Apache のモジュールと .htaccess で利用可能なディレクティブモジュールとディレクティブ一覧HTTP環境変数後方参照RewriteRuleの後方参照RewriteCondの後方参照まとめ.htaccess とは[1] Apache HTTP Server Webサーバソフトウェアが "Apache" である必要があります。 .htaccess とは、Webサーバの動作を制御するための設定ファイル [1] です。設定例としては、特定のファイルやディレクトリのアクセスを禁止したり、HTTP 404(Not Found:未検出)エラーページをカスタマイズすることもできます。.htaccess は設置しなくともWebサイトは問題なく動作しますが、セキュ
ファイルアップローダーのセキュリティ: どさにっき
2015年5月2日(土) ■ ファイルアップローダーのセキュリティ _ 徳丸さんとこ。 Apacheの多重拡張子にご用心。 ファイルのアップロードは、実は簡単ではないととらえるべきだと思います。 アップロード自体は難しくもなんともないよね。アップロードしたファイルをダウンロードさせるのであれば気をつけなきゃいけないことはたくさんあるけど。 _ ファイルをダウンロードさせるためのスクリプトなのであれば、アップロードだけじゃなくてダウンロードの部分まで面倒を見るべき、つまり推奨されてるとおり、対策の (3)(4) が正道だと思う。 _ が、たとえば、プログラムを1ビットも書かなくても、WebDAV という仕組みを使えばファイルのアップロードやら削除やらは好き放題できる。でも、DAV でもファイルのダウンロードは素の HTTP の GET を使うので、DAV が有効な場所でスクリプトが実行可能に
Apacheの多重拡張子にご用心
先日の日記『「10日でおぼえるPHP入門教室 第4版」はセキュリティ面で高評価』では、同書のアップロード機能のセキュリティ面を評価しつつ、「もうひと踏ん張り確認して欲しい内容がある」として、画像XSSの可能性について指摘しました。では、これを直せば完璧かというと、実はそうとも言えないという微妙な問題があります。それは、アップロード先の場所とファイル名の問題です。 ファイルをアップロードするディレクトリ: ドキュメントルート下の /php10/doc/ ファイル名: ブラウザから送信されたファイル名そのまま これらのうちファイル名の拡張子については、gif/jpg/jpeg/pngのみを許すという、いわゆるホワイトリスト検査がされていて、またgetimagesize()関数により、画像ファイルであることの簡易的なチェックをしています。しかし、この状態では、環境によってはアップロードしたファイ
Mozilla SSL Configuration Generator – 各種HTTPサーバでのSSL設定を表示
セキュリティに対する懸念やクイックSSLの低価格化、ハードウェアの高機能化もあって、SSL/TLSを導入するサイトが増えています。SSL間でないとリファラー情報を飛ばさないなどマーケティング上も困る状態になります。 しかしSSLの設定は意外と面倒で、ちゃんと設定されていないと意味がなかったり、エラーが出てしまったりします。そういった点を適切にアドバイスしてくれるのがMozilla SSL Configuration Generatorです。 Mozilla SSL Configuration Generatorの使い方 Mozilla SSL Configuration Generatorはその名の通りMozillaが開発しているサービスで、各種設定に基づくSSLの設定を提示してくれるソフトウェアです。 対応しているのはApache/nginx/HAProxyになります。モダンな書き方、サ
Apache HTTP Server: MPMパラメータ チートシート
こんにちは滝澤です。たまにはapacheネタということで一つ。 Apache HTTP ServerのパラメータチューニングではMaxClientsなどのMPM(マルチ プロセッシング モジュール)関連のディレクティブの設定値を調整することが多いです。本記事ではMPM関連のディレクティブのデフォルト値やディレクティブ間の関係を表にまとめたので紹介します。 注意事項 UNIX系OSにおける説明となります。バージョン2.2系および2.4系の両方について説明します。 関係式においてバージョン2.4系の場合はMaxClientsをMaxRequestWorkersに置き換えて読んでください。 ディレクティブ名には公式サイトのリンクを張っています。公式の説明も確認してください。 デフォルトの欄で括弧付きものはそのディレクティブそのものは設定不可ではあるが、内部的に設定されているデフォルト値を示してい
Apacheホスティング環境(Webサーバー+PHP実行環境)をコマンド一発で構築する一撃シェルスクリプト
一撃シェルスクリプトとは これは私が作った造語で、厳密な定義というものを設けているわけではありませんが、「シェルスクリプト(と設定ファイルのひな形)を用意すれば、コマンドを1回実行するだけで環境構築ができてしまうというスグレモノ」を目指しています。現在のところ、線引きとして以下のように詳細なルールを作っています。 OSインストール直後に一撃シェルスクリプトを配置して動かすものとする 実行回数は1回のみで、人が張り付く必要のない設計とする 対話式の入力は可能な限り回避する 一撃シェルスクリプトで重視していないこと 一撃シェルスクリプトは、あくまで「シェルで頑張れる範囲で冪等性(べきとうせい)を確保する」ツールです。なので、上に記した「一撃シェルスクリプトの定義」にだいたい合致していれば「これは一撃シェルスクリプトだぞ」と名乗ってもよいと思っています。例えば、何がなんでも1枚のスクリプトファイ
サブディレクトリで異なるユーザでBasic認証、Digest認証をかける - 発声練習
メモ。 典型的なBasic認証におけるHTTPクライアントとHTTPサーバの間の通信を紹介する。 だいたいの流れは以下のようになる。 クライアントは認証が必要なページをリクエストする。しかし、通常ここではユーザ名とパスワードを送っていない。なぜならばクライアントはそのページが認証を必要とするか否かを知らないためである。 サーバは401レスポンスコードを返し、認証領域 (authentication realm) や認証方式 (Basic認証) に関する情報をクライアントに知らせる。 それを受けたクライアントは、認証領域(通常は、アクセスしているコンピュータやシステムの簡単な説明)をユーザに提示して、ユーザ名とパスワードの入力を求める。ユーザはここでキャンセルすることもできる。 ユーザによりユーザ名とパスワードが入力されると、クライアントはリクエストに認証ヘッダを追加して再度送信する。 認証
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Apache HTTP Web Server 2.4」に複数の脆弱性、修正版のv2.4.25が公開
ApacheとNginxのログフォーマット比較: 楪総研第三分室