Re: [semi-OT] Modificar, mostrar y/u ocultar información de Apache en servidor web
El Mon, 13 May 2013 15:01:21 -0430, Miguel Matos escribió: Saludos lista, quisiera que me ayudasen a resolver unas dudas particulares. 1) Puedo ver en [1] algo que me llama la atención. Para l@s usuari@s que no pueden ingresar, este punto es el que me intriga: Apache/2.4.4 (Unix) Server at cdimage.debian.org Port 80 Hum... ¿Y qué es lo que te intriga, más concretamente? :-? 2) En [2] puedo leer esta información: Como vemos estamos revelando El tipo de sistema operativo ademas del tipo de servidor Web, su version y por si esto fuera poco la version de php. ¡Apaguen las máquinas, preparen los cañones, fuego a discreción...! Digo, para prepararse ante la guerra :-) Mi interés es siempre estar protegido lo mejor posible, por ello, si voy a ser desarrollador de sistemas de información (una de las tantas cosas que puede hacer un ingeniero de sistemas/software), debo conocer muchos temas del área de seguridad. Y me llama la atención el programa que usan. La seguridad por ocultación nunca es buena compañera de un admin ni de un desarrollador... ni de nadie, vaya. ¿Alguien sabe cómo se llama y si es posible obtenerlo por apt-get o vía .tar.gz? Desde ya gracias por su apoyo. (...) ¿A qué programa te refieres? Esos datos son del servidor web así que para saber cómo manipular (editar, ocultar, etc...) estos datos tendrás que consultar el manual del servidor que uses. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/kmtjqc$ctp$9...@ger.gmane.org
[semi-OT] Modificar, mostrar y/u ocultar información de Apache en servidor web
Saludos lista, quisiera que me ayudasen a resolver unas dudas particulares. 1) Puedo ver en [1] algo que me llama la atención. Para l@s usuari@s que no pueden ingresar, este punto es el que me intriga: Apache/2.4.4 (Unix) Server at cdimage.debian.org Port 80 2) En [2] puedo leer esta información: Como vemos estamos revelando El tipo de sistema operativo ademas del tipo de servidor Web, su version y por si esto fuera poco la version de php. Mi interés es siempre estar protegido lo mejor posible, por ello, si voy a ser desarrollador de sistemas de información (una de las tantas cosas que puede hacer un ingeniero de sistemas/software), debo conocer muchos temas del área de seguridad. Y me llama la atención el programa que usan. ¿Alguien sabe cómo se llama y si es posible obtenerlo por apt-get o vía .tar.gz? Desde ya gracias por su apoyo. [1] http://cdimage.debian.org/debian-cd/7.0.0/i386/iso-dvd/ [2] http://www.technoblog.com.ar/index.php/2009/10/ocultar-informacion-peligrosa-en-apache/ P.D.: Puedo ver que, de donde me estoy bajando el DVD 1 de la nueva versión de Debian[3] (que por cierto, desde mi trabajo se tardará hasta 30 horas en bajarlo, ni el Ares está permitido), me topo con esto: Apache/2.4.4 (Unix) Server at ftp.acc.umu.se Port 80 [3]http://hammurabi.acc.umu.se/debian-cd/7.0.0/i386/iso-dvd/debian-7.0.0-i386-DVD-1.iso Entonces, cuanto más sepa cómo protegerme, mejor para mí. Tal vez no completo, pero ir un paso adelante ayuda. P.D.2: El servidor Debian de Venezuela (cdn.debian.net) también Apache/2.2.9 (Debian) Server at cdn.debian.net Port 80 pone cara de temor -- Buen uso de las listas (como se ven en Debian): http://wiki.debian.org/es/NormasLista Ayuda para hacer preguntas inteligentes: http://is.gd/NJIwRz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/calevjmq8g6tryrvf4d_l-vzkv1zbtvbosm8eh3oqgemuuzy...@mail.gmail.com
Re: [semi-OT] Modificar, mostrar y/u ocultar información de Apache en servidor web
On 13/05/13 21:31, Miguel Matos wrote: Saludos lista, quisiera que me ayudasen a resolver unas dudas particulares. 1) Puedo ver en [1] algo que me llama la atención. Para l@s usuari@s que no pueden ingresar, este punto es el que me intriga: Apache/2.4.4 (Unix) Server at cdimage.debian.org Port 80 2) En [2] puedo leer esta información: Como vemos estamos revelando El tipo de sistema operativo ademas del tipo de servidor Web, su version y por si esto fuera poco la version de php. Mi interés es siempre estar protegido lo mejor posible, por ello, si voy a ser desarrollador de sistemas de información (una de las tantas cosas que puede hacer un ingeniero de sistemas/software), debo conocer muchos temas del área de seguridad. Y me llama la atención el programa que usan. ¿Alguien sabe cómo se llama y si es posible obtenerlo por apt-get o vía .tar.gz? Desde ya gracias por su apoyo. Creo que es addon Tamper Data (o alguno muy parecido). Pero vamos, que puedes obtener lo mismo con cualquier herramienta que te permita lanzar un request, p.ej.: curl -I http://website.tld/ O incluso por telnet (si sabes construir un GET). [1] http://cdimage.debian.org/debian-cd/7.0.0/i386/iso-dvd/ [2] http://www.technoblog.com.ar/index.php/2009/10/ocultar-informacion-peligrosa-en-apache/ P.D.: Puedo ver que, de donde me estoy bajando el DVD 1 de la nueva versión de Debian[3] (que por cierto, desde mi trabajo se tardará hasta 30 horas en bajarlo, ni el Ares está permitido), me topo con esto: Apache/2.4.4 (Unix) Server at ftp.acc.umu.se Port 80 [3]http://hammurabi.acc.umu.se/debian-cd/7.0.0/i386/iso-dvd/debian-7.0.0-i386-DVD-1.iso Entonces, cuanto más sepa cómo protegerme, mejor para mí. Tal vez no completo, pero ir un paso adelante ayuda. P.D.2: El servidor Debian de Venezuela (cdn.debian.net) también Apache/2.2.9 (Debian) Server at cdn.debian.net Port 80 pone cara de temor La seguridad por oscuridad funciona hasta que encuentran otro modo de obtener esa información, así que sólo es una _pequeña_ barrera más para los juankers porque hoy en día hay herramientas para todo. Salut, jors -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5191431f.3020...@gmail.com
Re: [semi-OT] Modificar, mostrar y/u ocultar información de Apache en servidor web
El 13/05/13 21:31, Miguel Matos escribió: Saludos lista, quisiera que me ayudasen a resolver unas dudas particulares. 1) Puedo ver en [1] algo que me llama la atención. Para l@s usuari@s que no pueden ingresar, este punto es el que me intriga: Apache/2.4.4 (Unix) Server at cdimage.debian.org Port 80 Sí, es una nueva versión del apache que hay en la web de www.apache.org, lo estoy viendo ahora mismo. Pero es para UNIX, si miras un poco, no está compilado para Debian (pronto estará listo para Debian Jessie). 2) En [2] puedo leer esta información: Como vemos estamos revelando El tipo de sistema operativo ademas del tipo de servidor Web, su version y por si esto fuera poco la version de php. Sí, pero ya has visto: Apache/2.4.4 (Unix) Mi interés es siempre estar protegido lo mejor posible, por ello, si voy a ser desarrollador de sistemas de información (una de las tantas cosas que puede hacer un ingeniero de sistemas/software), debo conocer muchos temas del área de seguridad. Y me llama la atención el programa que usan. ¿Alguien sabe cómo se llama y si es posible obtenerlo por apt-get o vía .tar.gz? Desde ya gracias por su apoyo. En un principio, va vía .tar.gz, que lo tenemos aquí: http://ftp.udc.es/apache/httpd/ (es de la Universidad De La Coruña) El paquete .tar.gz: http://ftp.udc.es/apache/httpd/httpd-2.4.4.tar.gz O el más comprimido: http://ftp.udc.es/apache/httpd/httpd-2.4.4.tar.bz2 Mirrors: http://www.apache.org/dyn/closer.cgi/httpd/ P.D.: Puedo ver que, de donde me estoy bajando el DVD 1 de la nueva versión de Debian[3] (que por cierto, desde mi trabajo se tardará hasta 30 horas en bajarlo, ni el Ares está permitido), me topo con esto: Apache/2.4.4 (Unix) Server at ftp.acc.umu.se Port 80 Sí, sí. Pero como te he adelantado, no existe aún paquete para Debian, en la Jessie existe la 2.2.22, que es lo que me muestra el 'apt-cache show apache2'. Entonces, cuanto más sepa cómo protegerme, mejor para mí. Tal vez no completo, pero ir un paso adelante ayuda. Tú tranquilo, mientras que sea de Debian y lo tengas bien configurado, no tendrás problema, porque, de hecho, cuando aparezcan nuevas vulnerabilidades, los parchean en tiempo récord. No te preocupes. P.D.2: El servidor Debian de Venezuela (cdn.debian.net) también Apache/2.2.9 (Debian) Server at cdn.debian.net Port 80 De Debian Wheezy, es la 2.2.22-13: http://packages.debian.org/wheezy/i386/apache2 (para otras plataformas, también miramos: http://packages.debian.org/search?suite=wheezysearchon=nameskeywords=apache2 ). pone cara de temor :þ -- Saludos de Santiago José López Borrazás. signature.asc Description: OpenPGP digital signature
Re: [semi-OT] Modificar, mostrar y/u ocultar información de Apache en servidor web
El día 13 de mayo de 2013 15:37, Santiago José López Borrazás sjlop...@gmail.com escribió: El 13/05/13 21:31, Miguel Matos escribió: Saludos lista, quisiera que me ayudasen a resolver unas dudas particulares. 1) Puedo ver en [1] algo que me llama la atención. Para l@s usuari@s que no pueden ingresar, este punto es el que me intriga: Apache/2.4.4 (Unix) Server at cdimage.debian.org Port 80 Sí, es una nueva versión del apache que hay en la web de www.apache.org, lo estoy viendo ahora mismo. Pero es para UNIX, si miras un poco, no está compilado para Debian (pronto estará listo para Debian Jessie). 2) En [2] puedo leer esta información: Como vemos estamos revelando El tipo de sistema operativo ademas del tipo de servidor Web, su version y por si esto fuera poco la version de php. Sí, pero ya has visto: Apache/2.4.4 (Unix) Mi interés es siempre estar protegido lo mejor posible, por ello, si voy a ser desarrollador de sistemas de información (una de las tantas cosas que puede hacer un ingeniero de sistemas/software), debo conocer muchos temas del área de seguridad. Y me llama la atención el programa que usan. ¿Alguien sabe cómo se llama y si es posible obtenerlo por apt-get o vía .tar.gz? Desde ya gracias por su apoyo. En un principio, va vía .tar.gz, que lo tenemos aquí: http://ftp.udc.es/apache/httpd/ (es de la Universidad De La Coruña) El paquete .tar.gz: http://ftp.udc.es/apache/httpd/httpd-2.4.4.tar.gz O el más comprimido: http://ftp.udc.es/apache/httpd/httpd-2.4.4.tar.bz2 Mirrors: http://www.apache.org/dyn/closer.cgi/httpd/ P.D.: Puedo ver que, de donde me estoy bajando el DVD 1 de la nueva versión de Debian[3] (que por cierto, desde mi trabajo se tardará hasta 30 horas en bajarlo, ni el Ares está permitido), me topo con esto: Apache/2.4.4 (Unix) Server at ftp.acc.umu.se Port 80 Sí, sí. Pero como te he adelantado, no existe aún paquete para Debian, en la Jessie existe la 2.2.22, que es lo que me muestra el 'apt-cache show apache2'. Entonces, cuanto más sepa cómo protegerme, mejor para mí. Tal vez no completo, pero ir un paso adelante ayuda. Tú tranquilo, mientras que sea de Debian y lo tengas bien configurado, no tendrás problema, porque, de hecho, cuando aparezcan nuevas vulnerabilidades, los parchean en tiempo récord. No te preocupes. P.D.2: El servidor Debian de Venezuela (cdn.debian.net) también Apache/2.2.9 (Debian) Server at cdn.debian.net Port 80 De Debian Wheezy, es la 2.2.22-13: http://packages.debian.org/wheezy/i386/apache2 (para otras plataformas, también miramos: http://packages.debian.org/search?suite=wheezysearchon=nameskeywords=apache2 ). pone cara de temor :þ -- Saludos de Santiago José López Borrazás. Creo que lo que hiciste es algo como intentar darle a la diana con los ojos vendados y los oídos tapados con corchos. Éste es el programa del que busco información: http://www.technoblog.com.ar/wp-content/uploads/2009/07/Headers_Full.png -- Buen uso de las listas (como se ven en Debian): http://wiki.debian.org/es/NormasLista Ayuda para hacer preguntas inteligentes: http://is.gd/NJIwRz -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CALEvJmRtPwPXgb0xm67Gaacw=or5chfw973sjifhrnm+pxr...@mail.gmail.com
Re: [semi-OT] Modificar, mostrar y/u ocultar información de Apache en servidor web
El 14/05/13 03:33, Miguel Matos escribió: Creo que lo que hiciste es algo como intentar darle a la diana con los ojos vendados y los oídos tapados con corchos. Éste es el programa del que busco información: http://www.technoblog.com.ar/wp-content/uploads/2009/07/Headers_Full.png Je.. -- Saludos de Santiago José López Borrazás. signature.asc Description: OpenPGP digital signature