Apache e sicurezza Web
Apache come ogni software usato in rete, è soggetto a bug che lo può rendere vulnerabile ad attacchi di diversa natura: Denial of Service, Information Disclosure, System Violation, Data Corruption...
La storia di Apache ha avuto vulnerabilità anche serie, prontamente corrette, e problemi minori, applicabili a situazioni particolari.
Al giorno d'oggi la maggior parte dei problemi di sicurezza di un sito web non sono dovuti al software che fa da server web (Apache) ma dalle applicazioni web, basate su diversi linguaggi.
A livello di configurazione di Apache è possibile:
- Mitigare l'impatto di un attacco DOS
- Minimizzare l'esposizione di informazioni sensibili
- Nascondere la versione di Apache (palliativo non inutile)
A livello di configurazione di PHP è possibile:
- Limitare l'utilizzo delle risorse di sistema da parte di una pagina PHP
- Introdurre filtri standard sugli input passati a query SQL
- Limitare l'accesso al file system da parte di script PHP
A livello di configurazione di MySQL è possibile:
- Controllare e impedire accesso in lettura o in scrittura a dati da parte di applicazioni Web
A livello di applicazione web si deve:
- Controllare i dati in input e renderli inoffensivi ad attacchi basati su SQL Injection, Cross Site Scripting, accesso al file sistema, abuso di risorse locali.
- Verificare la logica del codice per impedire accesso ad aree riservate da parte di utenti non autorizzati