Archivo de la categoría: Seguridad

Artículos sobre seguridad informática: securización de sistemas operativos, servidores de aplicaciones/web, firewalls, IDS…

Parseo de error.log con ModSecurity log parser

Ya que estamos en racha con mod_security, encontré recientemente un parseador de logs muy sencillo de utilizar que merece una entradilla. Es simple pero cumple su cometido. Dicho script forma parte de la suite de repositorios del grupo SpiderLabs y está escrito en Python 2.7.

Excluyendo falsos positivos para WordPress/Drupal en OWASP Core Rule Set 3 (mod_security)

Hacer compatibles las reglas de OWASP para los principales CMS nunca fue tarea fácil. La cantidad de falsos positivos era considerable, por lo que mod_security muchas veces bloqueaba tareas de lo más habituales: publicar un post, subir una imagen, editar un tema, etc… Hasta ahora uno de los métodos más utilizados -y tediosos- era configurar… Leer más »

Mod_security – Whitelist para googlebot (y otros crawlers legítimos)

Si bien mod_security nos proporciona una capa más de seguridad en nuestro servidor web Apache, pueden darse casos en los que queden bloqueadas peticiones legítimas que tendremos que dejar pasar por nuestro WAF. Por norma general siempre hay que personalizar o bien las reglas o el comportamiento global del módulo para añadir ciertas excepciones. Algunos… Leer más »

De HTTP a HTTPS con Let’s Encrypt en modo manual (Debian)

Lenta pero inexorablemente el protocolo HTTPS se está convirtiendo en un nuevo estándar mínimo a cumplir para la mayoría de webs. Los principales navegadores y buscadores como Firefox o Chrome ya vienen anunciándolo hace tiempo. Se trata de una evolución que no sólo afectará a webs de medios de pago, sino también a blogs, periódicos… Leer más »

Test de certificados SSL defectuosos en badssl.com

¿Qué tipo de error obtenemos en nuestro navegador cuando visitamos una web con un certificado expirado? ¿Si dicha web contiene contenido mixto con imágenes que se sirven por HTTP? ¿Y si las suites de cifrado no son seguras? Siempre podemos montarnos un servidor web Apache/Nginx y crear certificados con OpenSSL para realizar tests, pero la… Leer más »