Videocorso in italiano su Udemy!
https://www.udemy.com/corso-linux-per-sviluppatori-web-lamp-apache-php-mysql/?couponCode=SLIDES10
- Installare un server linux
- Lavorare con la linea di comando
- Gestione gruppi, utenti e permessi
- Bash scripting
- Espressioni regolari
- Apache, NGnix &Https
- Installare PHP & MySql
- Cron e crontab
Videocorso in italiano su Udemy!
https://www.udemy.com/corso-linux-per-sviluppatori-web-lamp-apache-php-mysql/?couponCode=SLIDES10
- Installare un server linux
- Lavorare con la linea di comando
- Gestione gruppi, utenti e permessi
- Bash scripting
- Espressioni regolari
- Apache, NGnix &Https
- Installare PHP & MySql
- Cron e crontab
Piccola guida ai primi passi a WP.
- Come funziona un sito web
- Accenni di definizione di HTML - CSS - PHP
- wp.com VS wp.org
- Come installare un website in WP
- Scrivere un post
- Scrivere un articolo
Queste sono le slide della mia presentazione al T3CampItalia 2011. Argomento della presentazione è stata la sicurezza in TYPO3, dalle impostazioni in fase di installazione, alle estensioni utili (es. il PHPIDS: Intrusion detection system), fino alle tecniche di programmazione per evitare gli attacchi più comuni (es. sql injection e cross site scripting).
Vorrei scrivere un libro sul PHP e cerco chi possa aiutarmi nella correzione delle bozze e per la pubblicazione, l'idea e di metterci i seguenti contenuti. vorrei differenziarmi dai soliti libri italiani tutti uguali tra di loro e che manifestano un'orientamento spiccatamente accademico e poco pratico. Io vorrei fare esempi pratici che da solo comprendono quello che in altri libri trovi in capitoli di costrutti elementari e difficilmente utilizzati in quel modo nella pratica.
Gli HTTP Security Header e altri elementi da sapere su HTTP in un Web Applica...Simone Onofri
Negli ultimi anni la disponibilità di Browser sempre più avanzati e le grandi capacità di calcolo dei Client hanno portato all’attenzione della comunità di sicurezza una serie di attacchi o tecniche che hanno come bersaglio principale l’utente dell’applicazione. I vendor e organizzazioni come IEFT e W3C hanno considerato opportuna l’implementazione di alcune protezioni attivabili tramite Header HTTP.
Gli header devono essere configurati per non rilasciare le informazioni, ottimizzare cache e codifica. Di contro manipolando direttamente i pacchetti HTTP è possibile alterare anche le risposte dell’applicazione o il suo funzionamento. Durate il talk analizzeremo attacchi come l’UI Redressing / HTTP Response Splitting, HTTP Verb Tampering e molto altro.
Create and use a Dockerized Aruba Cloud server - CloudConf 2017Aruba S.p.A.
Docker can be used to provision and manage virtual servers hosted on the Aruba Cloud platform. The docker-machine driver for Aruba Cloud allows users to create, start, stop, and remove Docker-enabled virtual servers using docker-machine commands. Virtual servers on Aruba Cloud include Smart and Pro options and can be created from templates like Ubuntu or CentOS in different sizes.
Aruba eCommerce - Corso online ' Come preparare le promozioni nel tuo eCommerce'Aruba S.p.A.
Aruba eCommerce - Corso online ' Come preparare le promozioni nel tuo eCommerce, promozioni e saldi nel negozio online, dai primi passi alle strategie di marketing'
Hosting: gli indici SQL, cosa sono e come funzionano #TipOfTheDay
Hosting: 10 consigli per mettere al sicuro un sito - parte 2 #TipOfTheDay
1. #Arubait5 Elementi della pagina di prodotto
Hosting: 10 consigli per
mettere al sicuro un sito
parte 2
2. Sicurezza hosting a portata di tutti,
imparando a configurare
passo dopo passo i servizi PHP e il webserver Apache
attraverso l'uso del file .HTACCESS.
Vediamo altri consigli per una migliore protezione contro gli attacchi hacker e
la compromissione della sicurezza hosting.
#e-Commerce
Contenuti a cura di HostingTalk
3. Con il termine permessi dei file si intende l’opportunità di interagire con i file presenti sull’hosting, nei modi in cui ciò è possibile, ossia in lettura, in scrittura e in esecuzione.
Ogni utente deve avere permessi di accesso ai file differenti,
in modo da essere sicuri che solo l’amministratore dell’hosting possa, ad esempio,
eseguire script o cancellare file, mentre altre tipologie di utente possano semplicemente
leggere il file ed eseguirlo.
I permessi dei file vengono indicati con una notazione numerica formata da tre cifre,
di cui la prima rappresenta il permesso di lettura, scrittura ed esecuzione
(o una combinazione di alcuni di questi permessi) per il proprietario del file, la seconda il
permesso per il gruppo e la terza il permesso per l’utente pubblico.
La notazione prevede che:
•il permesso di lettura venga indicato con il numero 4,
•il permesso di scrittura venga indicato con il numero 2,
•il permesso di esecuzione venga indicato con il numero 1,
•lo 0 indica la mancanza del permesso.
4. Sono poi stabilite le seguenti combinazioni, usate per sostituire le terzine di lettere:
•lettura e scrittura sono identificate con il numero 6 dato dalla somma della lettura (4) e della scrittura (2);
•lettura ed esecuzione sono identificate con il numero 5 (da 4+1, ossia lettura + esecuzione);
•scrittura ed esecuzione sono identificate con il numero 3 (2+1);
•lettura, scrittura ed esecuzione sono identificate con il numero 7 (4+2+1).
In generale, per mantenere la sicurezza hosting i file memorizzati dovrebbero sempre avere permessi impostati a 644 o 755.
Se una particolare applicazione richiede che una directory o un file abbia
delle condizioni di permesso superiori (ad esempio 777),
bisogna provare a porre tale file o directory fuori dalla webroot identificata
di norma dalla cartella public_html oppure porre una condizione
di non accesso pubblico nel file di .HTACCESS tramite
l’inserimento della dicitura deny from all.
5. Al di là di tutto, prima di cambiare le condizioni di permesso ai file,
annotare quelli riportati (anche con uno screenshot),
in modo da poterli ripristinare in caso di malfunzionamento.
Per modificare i permessi dei file usare un client FTP o specificarli nel file .HTACCESS
6. I CMS come WordPress, Joomla, Drupal, Magento, Prestashop sono molto
diffusi per la semplicità con cui consentono a chiunque di gestire siti web complessi.
Questa popolarità, d’altra parte, è anche il loro svantaggio.
Infatti, queste piattaforme sono spesso uno degli obiettivi preferiti da parte degli hacker
che si trovano facilitati negli attacchi, perché la maggior parte delle installazioni
permette di raggiungere in modo agevole l’interfaccia di accesso al
back-end amministrativo
(per esempio WordPress la pone sempre all’indirizzo /wp-admin/)
e anche perché i prefissi delle tabelle usate nei database sono sempre quelli standard.
Inoltre, molti CMS espongono i temi e i plugin usati dall’utente e tutto questo,
insieme alla standardizzazione a cui CMS mirano per rendere più semplice
la vita agli utilizzatori, diventa strumento facilitatore
per l’esecuzione degli attacchi hacker.
7. Gli hosting PHP di norma hanno un file di configurazione chiamato php.ini,
da cui è possibile disabilitare alcune funzionalità che potrebbero concedere
particolari privilegi di esecuzione agli hackers.
Negli hosting tradizionali, non sempre è possibile modificare il file php.ini, ma alcuni provider configurano il server per poter funzionare anche con file di configurazione locali,
ossia dei file php.ini che è possibile personalizzare e salvare nel percorso su cui è attestato l’account hosting e sulle sue sottodirectory.
Se possibile, è il caso di mettere mano al file php.ini locale (ricordandosi di salvarlo nella directory ove sono contenuti i file PHP da controllare). Al suo interno, infatti, dovranno comparire alcune dichiarazioni come quelle seguenti, che migliorano l’aspetto della sicurezza hosting e mettono al riparo da brutte sorprese.
Ad esempio, la seguente dichiarazione inserita nel file php.ini disabilita alcune funzioni PHP che potrebbero essere molto pericolose:
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
8. Allo stesso tempo, la dichiarazione:
open_basedir = /home/users/example/public_html
limita a una specifica cartella i file che possono essere interpretati dal motore PHP.
E ancora:
allow_url_fopen=off
serve per disabilitare l’inclusione di file disponibili su macchine remote e
raggiungibili tramite protocollo FTP e HTTP.
Se non prettamente necessaria, quindi, è il caso di disabilitare questa funzionalità, ma alcuni CMS, come ad esempio Joomla, richiedono che questa funzione sia attiva per garantire l’esecuzione di alcuni componenti, come l’aggiornamento automatico in un clic.
Inoltre, se si ha una versione di PHP più vecchia della 5.3.0, bisogna anche
inserire nel file di configurazione le seguenti configurazioni:
safe_mode = 0 register_globals = 0
Conviene anche nascondere la versione di PHP in uso da eventuali occhi indiscreti, aggiungendo sempre al file php.ini la dichiarazione:
expose_php = off
9. L’.HTACCESS è un file di configurazione per il webserver Apache,
che contiene una serie di direttive testuali che permettono di specificare come
il webserver deve comportarsi nella gestione dei file e directory,
nella gestione degli errori, nella configurazione di PHP e via discorrendo.
Per garantire il massimo della sicurezza hosting, bisogna configurare il file .HTACCESS in
modo che neghi l’accesso al sito da parte dei bot indesiderati e del linguaggio PERL.
Per ottenere questo risultato, bisogna appurare che nel file .HTACCESS sia presente la seguente configurazione:
SetEnvIfNoCase User-Agent libwww-perl bad_bots order deny,allow deny from env=bad_bots
10. Inoltre, se sul sito non sono presenti script Perl da eseguire, conviene
impedirne l’esecuzione, configurando un falso gestore, in questo modo:
<FilesMatch “.(cgi|pl|py|txt)”> Deny from all </FilesMatch>
ricordandosi di aggiungere le seguenti tre linee:
<FilesMatch robots.txt> Allow from all </FilesMatch>
se si sta usando un file robots.txt.
Questa configurazione permette di evitare che vengano eseguiti gli script Perl,
con cui sono scritti molti exploit e backdoors.
11. Un’altra condizione che potrebbe migliorare la sicurezza hosting è l’attivazione del modulo di riscrittura delle URL, magari per mascherare l’uso del PHP, facendolo sembrare un altro linguaggio di programmazione lato server, come Python.
Così si riescono a depistare gli hacker alle prime armi.
Per ottenere questo risultato, il file .HTACCESS dovrebbe contenere:
RewriteEngine On RewriteRule ^/(.+).py(.+)? /$1.php$2 [L,QSA,NC]
sempre che il filtro mod_rewrite sia installato e configurato da parte
del provider per bloccare alcuni attacchi PHP.
Altre misure prevedono l’imposizione di particolari restrizioni ad alcuni tipi di file,
la prevenzione dal browsing non autorizzato di determinate directory,
il cambio della pagina di index predefinita e
l’accesso sicuro ad alcune directory sono da specifico indirizzo IP.
12. Verificare sempre che sia presente una soluzione di backup manuale o automatica
associata al servizio hosting e all’eventuale database in uso,
in modo da poter resettare i file in qualsiasi momento dopo l’exploit e
ripristinarli al volo a una versione pre-attacco.
13. Poiché sull’hosting si lavora dal proprio PC locale o dalla LAN,
assicurarsi che questi elaboratori siano sempre protetti e puliti
da eventuali virus e malware,
per evitare che i file trasferiti possano essere stati infettati.
Infine, usare sempre il buon senso:
tenere sempre un PC non collegato a Internet e alla rete locale
e conservare in modalità offline
tutte le informazioni più importanti.