Remplacer l’index Apache par h5ai
Utiliser H5AI comme index pour Apache afin d’avoir un index personnalisé au design moderne !
Lire cet article
Apache
Redirection de tout un répertoire en .htaccess
Nous allons ici voir comment mettre une redirection 301 sur tout un répertoire à l’aide d’une règle dans un fichier .htaccess
Lire cet article
Reverse proxy Nginx : Load-balancing et Fail-Over
Tutoriel sur la mise en place d’une architecture de load-balacing et fail-over avec un reverse proxy Nginx
Lire cet article
Envoyer les logs Apache sur un serveur de logs
Nous allons ici voir comment envoyer les logs Access et Error d’apache sur un serveur rsyslog
Lire cet article
Installation de mod_security devant un serveur web Apache
Nous allons ici présenter le module de pare-feu applicatif mod_security, son installation et sa configuration basique.
Lire cet article
Apache : Rediriger un domaine avec .htaccess
Rediriger de façon permanente ou temporaire un domaine avec Redirect et les redirections 301 et 302.
Lire cet article
Mise en place d’un Reverse Proxy Apache avec mod_proxy
Nous allons ici voir comment installer et configurer le module proxy_http d’Apache pour le faire agir en tant que reverse_proxy.
Lire cet article
Désactiver la méthode HTTP TRACE sous Apache 2
Nous allons ici voir ce qu’est la méthode HTTP TRACE et comment la désactiver sous Apache2.
Lire cet article
Nginx s’affirme en tant que serveur web haute performance
Un récent rapport du W3techs positionne Nginx en tant que premiers serveurs pour les 10 000 premiers sites en terme de trafic.
Lire cet article
Qu’est ce que le Directory Browsing/Listing ?
I. Présentation Dans ce tutoriel, nous allons parler du Directory Browsing (navigation dans les répertoires) aussi appelé Directory Listing (Listage de répertoire). Nous allons voir comment il peut être utilisé, pourquoi il peut être un danger et comment l’activer et le désactiver sous les serveurs web Apache et IIS. II. Qu’est ce que c’est ? Le Directory Browsing ou Listing est le fait de donner la possibilité aux visiteurs d’un site web de voir et d’afficher le contenu d’un répertoire en « brut ». Habituellement, les serveurs web affichent des pages web (HTML, PHP, etc.), il est plus rare de trouver un répertoire affiché tel quel lorsque l’on visite un site web. Cela peut toutefois être utile, prenons par exemple les espaces web mettant à disposition des utilisateurs des fichiers à télécharger : En quoi est-ce un danger ? Il n’est pas toujours souhaitable de voir tous les fichiers d’un dossier web s’afficher aux yeux des visiteurs, je pense notamment à des
Lire cet article
Documents par défaut – Apache
I. Présentation Dans ce tutoriel, nous allons voir comment gérer les documents par défaut dans le serveur web Apache. Pour information, un document par défaut est un fichier (nom + format) que le serveur web va automatiquement charger si il se trouve dans un répertoire web visé par un client. Concrètement, « index.html » est un fichier par défaut sur tous les serveurs web. Si un client se rend dans un répertoire web sans spécifier de fichier, le serveur web ira lire les documents par défaut qu’il peut charger puis essayer de les trouver dans le répertoire en question. S’il en trouve un, il le chargera plutôt que d’afficher le contenu du répertoire web. II. Configuration Apache Dans Apache, on peut effectuer cette modification des documents par défaut dans la configuration du virtualhost ou du site en question (/etc/apache2/sites-enabled) ou alors dans un .htaccess si nous n’avons pas accès à la configuration du serveur web (dans le cas d’un hébergement mutualisé par
Lire cet article
Configurer le SSL avec Apache 2
Apprenons à configurer le SSL sur un serveur web Apache grâce à OpenSSL
Lire cet article
Automatiser l’authentification .htaccess dans l’URL
I. Présentation Lors de la mise en place d’une protection d’un dossier ou d’une page web par authentification avec le couple de fichier « .htaccess » et « .htpasswd », l’authentification est à faire dans un pop-up qui apparait lors du retour de la requête. Dans ce tutoriel, nous allons voir comment automatiser cette authentification sans avoir à saisir les identifiants dans cette fenêtre pop-up. Cela peut par exemple être utilisé lors de la mise en place d’un script qui automatise une tâche. II. Procédure Dans un cas normal, nous utiliserons donc une simple requête web comme « http://siteweb.tld/pageprotegee.html » puis nous aurons à saisir nos identifiants. Afin d’automatiser l’authentification, nous allons envoyer directement les identifiants dans la requête comme suivant : http://login:[email protected]/pageprotegee.html Il faut donc spécifier entre « http:// » et le reste de l’URL le couple « login : mot de passe » et marquer le début du reste de l’URL par un « @ ». Une petit astuce au cas où l’identifiant contiendrait un « @ » (une adresse mail par
Lire cet article
Sécuriser les authentifications Htaccess avec l’option Digest
I. Présentation Le fichier .htaccess est un moyen rapide et efficace pour restreindre et protéger l’accès à un dossier ou à des fichiers web sur un serveur. La plupart des tutoriels nous disent souvent d’utiliser l’option simple « AuthType Basic » pour la méthode d’authentification. Cependant, cette option fait passer les mots de passe quasiment en clair sur le réseau remettant ainsi sérieusement en cause leur crédibilité en terme de sécurité. Dans ce tutoriel, nous allons voir une démonstration du passage du mot de passe lors d’une authentification .htaccess utilisant un type d’authentification « Basic » puis nous verrons comment mieux sécuriser le passage de l’authentification sur le réseau par un .htaccess. II. Démonstration Nous partons ici du fait qu’un fichier « .htaccess » utilisant l' »AuthType Basic » est déjà en place. Pour ceux pour qui ce ne serait pas encore le cas, je vous oriente vers ce tutoriel sur la mise en place d’une protection simple avec « .htaccess ». Nous allons donc avoir un serveur web (dans
Lire cet article
Une vulnérabilité XML découverte dans mod_security d’Apache
Le module d’Apache, mod_security, qui a pour but de renforcer la sécurité des applications web est lui-même vulnérable à une attaque par entité externe XML. Cette découverte a été faite par Timur Yunusov et Alexey Osipov de Positive Technologies. Le but de l’attaque consiste à utiliser un fichier XML malveillant qui permettrait de faire excéder la consommation des ressources processeur et mémoire de la machine lors du traitement, ainsi que de dévoiler des fichiers locaux du serveur. Il est fortement recommandé de mettre à jour votre module Apache, plus précisément le paquet « modsecurity-apache » vers une version plus récente. La correction consiste à passer à l’état « Off » le paramètre « SecXmlExternalEntity » dans le but de désactiver la capacité de libxml2 à charger les entités externes. Pour ceux qui ne connaissent pas Mod_Security, c’est un pare-feu applicatif qui se présente comme un module pour Apache et qui permet d’analyser les requêtes entrantes sur les serveurs web. Ceci dans le but de sécuriser les
Lire cet article