Kontakt: +48 58 550 95 00 | kontakt@assecods.pl
 

Zanim zadzwonisz do Serwisu

Komunikat w sprawie podwyższenia zabezpieczeń Apache

 

Informujemy o konieczności modyfikacji zabezpieczeń Apache przed sposobem ataku Clickjacking oraz Cross-site scripting. Brak modyfikacji może spowodować nieprawidłowe działanie aplikacji webLSP/webDFE. Artykuł zawiera instrukcję, prezentującą krok po kroku, w jaki sposób wprowadzić podwyższenie zabezpieczeń Apache.

Szanowni Państwo,

 

W związku z wprowadzonym przez różne przeglądarki internetowe zabezpieczeń przed sposobem ataku Clickjacking oraz Cross-site scripting

https://www.owasp.org/index.php/Clickjacking

https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

 

Użytkownicy Apache powinni wprowadzić modyfikację odnośnie zabezpieczeń:

 

  • Nagłówku odpowiedzi (Header)
  • Zamknięcie dostępu do określonych metod nieużywanych przez aplikację (PUT, DELETE, TRACE)
  • Wyłączenie możliwości śledzenia (TraceEnable off)
  • Podwyższenia protokołu SSL (SSLProtocol all-SSLv2 -SSLv3)

 

Brak modyfikacji może spowodować nieprawidłowe działanie aplikacji webLSP/webDFE.

 

Poniżej instrukcja zmian jakie należy wykonać.

 

Należy dodać:

 

1. W pliku httpd.conf  < \Apache22\conf\httpd.conf>

 

  • W sekcji  <VirtualHost >

 

Header set X-XSS-Protection „1;mode=block”

Header set Content-Security-Policy „default-src 'self' 'unsafe-inline' 'unsafe-eval'”

Header set X-Content-Type-Options „nosniff”

Header set Strict-Transport-Security „max-age=31536000; includeSubdomains”

Header set X-Powered-By  „ADS-Soft”

 

Header set X-Frame-Options „SAMEORIGIN”

 

TraceEnable off

 

<Location />

<LimitExcept POST GET>

deny from all

</LimitExcept>

</Location>

 

2. W pliku httpd-ssl.conf  < \Apache22\conf\extra\httpd-ssl.conf>

 

  • Dodać linię SSLProtocol all -SSLv2 -SSLv3 poniżej linii SSLEngine on

 

Na przykład:

 

#   SSL Engine Switch:

#   Enable/Disable SSL for this virtual host.

SSLEngine on

 

SSLProtocol all -SSLv2 -SSLv3

 

  • W sekcji  <VirtualHost >

 

Header set X-XSS-Protection „1;mode=block”

Header set Content-Security-Policy „default-src 'self' 'unsafe-inline' 'unsafe-eval'”

Header set X-Content-Type-Options „nosniff”

Header set Strict-Transport-Security „max-age=31536000; includeSubdomains”

Header set X-Powered-By  „ADS-Soft”

 

Header set X-Frame-Options „SAMEORIGIN”

 

TraceEnable off

 

<Location />

<LimitExcept POST GET>

deny from all

</LimitExcept>

</Location>

 

3. W przypadku udostępniania aplikacji do sieci zewnętrznej (Internet) poprzez Apache zalecamy stosowanie certyfikatu kwalifikowanego do uruchomienia protokołu SSL.

 

Informacje odnoście certyfikatu znajdą Państwo w Powszechnym Centrum Certyfikacji Certum.

W tym miejscu zachęcamy Państwa również do lektury artykułu o certyfikatach SSL opublikowanym w niniejszym numerze biuletynu.

 

Prosimy o wprowadzenie zmian z punktów 1 i 2 lub ewentualny kontakt z Serwisem w celu ich wprowadzania. Zmiany wymagają restartu serwera Apache, co chwilowo uniemożliwi dostęp do aplikacji.

 

autorzy: Maciej Kerner ; Michał Pianko