Archivo

Posts Tagged ‘LAMPP’

SEGURIDAD EN HOSTINGS COMPARTIDOS – PARTE II

Siguiendo en la línea de estudiar LAMPS, shared hostings, etc, en este artículo vamos a hablar de cómo funciona un hosting compartido desde el punto de vista del cliente y qué deberíamos mirar para tener una idea de si su nivel de seguridad es adecuado o no. Antes de leer este post, sería conveniente que mirases la primera parte.

Los servicios de hosting que he mirado para escribir este post son 000freeweb.com y freeweb7.com.

Lo primero será abrirnos una cuenta, para lo que necesitaremos una dirección de correo electrónico a la que nos llegarán los enlaces de confirmación y activación de la cuenta, lo típico.

Tras crear y activar nuestra cuenta, tendremos permisoso para subir ficheros php, así que lo aprovecharemos para subir uno que nos dé toda la información básica del servidor llamando a phpinfo(). Es decir, un archivo php con el siguiente contenido:

<?php
phpinfo();
?>

Y el resultado sería algo así:

Leer más…

Anuncios
Categorías:Redes, Seguridad Etiquetas: , , ,

SEGURIDAD EN HOSTINGS COMPARTIDOS

1. EL PROBLEMA.

Uno de nuestros clientes tiene un servidor alojado en un hosting compartido de una empresa de USA. Su aplicación es el típico LAMP (linux+apache+mysql+php) que uno encuentra hoy en día en todas partes.

Pues bien, el problema es que, debido a un fallo en la validación de uno de los parámetros de entrada, es posible meterles sql-injection … y la web ha caído varias veces.

Y entonces, surge la pregunta, ¿qué puede hacer uno por securizar su aplicación en el caso de un hosting compartido?

2. POSIBLES SOLUCIONES.

Veamos las opciones que uno tendría normalmente y cómo afecta que sea un hosting compartido:

(1)instalar mod_security o Suhosin

Imposible. Mod_security es un módulo de apache y se necesita que la empresa que les alquila el hossting lo meta, lo cual puede resultar en problemas para otros clientes. Por otro lado, suhosin viene como parche para el php, que tampoco podemos aplicar por la misma razón.

(2) Hardening del php.ini

El php.ini que carga el LAMP al arrancar, localizado en /etc/php.ini, no lo podemos tocar, dado que tendría que ser el hosting quien lo haga. Podemos sugerirles que hagan cambios, pero siempre tienen la última palabra. Tenemos las manos atadas.

Leer más…

Categorías:Redes, Seguridad Etiquetas: , , ,