Cabeceras de seguridad en Apache - PHP




Existen diferentes cabeceras o headers de seguridad para sitios web brindando una seguridad extra a los usuarios.

X-Content-Type

Para evitar algunos tipos de drive-by-descargas. Está opción rechazará las respuestas con tipos MIME incorrectos si el servidor envía la respuesta de cabecera "X-Content-Type-Opciones: NOSNIFF". Esta es una característica de seguridad que ayuda a prevenir los ataques basados ​​en el tipo MIME confusión. evitando que se envie al navegador el archivo.

en .htaccess


Header set X-Content-Type-Options nosniff

en PHP

header('X-Content-Type-Options:nosniff');

Preveer Ataques Clickjacking

Las posibles opciones de esto son:

  • SAMEORIGIN: Esta configuración permitirá que la página que se mostrará en el marco en el mismo origen que la propia página.
  • DENY: Esta configuración evitará una página que muestra en un marco o un iframe.
  • ALLOW-FROM uri: Esta configuración permitirá que la página que se mostrará sólo en el origen especificado.

en .htaccess


Header always append X-Frame-Options SAMEORIGIN

en PHP

header('X-Frame-Options:SAMEORIGIN');

XSS-Protection

La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que poseen los navegadores nuevos.

Se trata de una capa de seguridad adicional que bloquea ataques XSS

en .htaccess


Header set X-XSS-Protection “1; mode=block”

en PHP

header('X-XSS-Protection:1;mode=block');

HTTP Strict Transport Security (abreviado como HSTS)

Es una capa de seguridad que le indica a los navegadores que deben usar el protocolo HTTPS

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Resumiendo:

.htacces


header('X-Content-Type-Options:nosniff');
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection “1; mode=block”

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

header.php

header('X-Content-Type-Options:nosniff');
header('X-Frame-Options:SAMEORIGIN');
header('X-XSS-Protection:1;mode=block');
$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Verificar con Mozilla
Observatory.Mozilla

Revisar tu sitio:
Sucuri

Lectura recomendada:
Sucuri



Otras artículos de interés:

Aspectos para Auditorías de Sistemas de Información y Tecnologías Informáticas e implementación de estándares de Seguridad Infor
Este documento es una guía práctica para las personas que desean conocer la situación de una organización en relación a su seguridad informática. Conformacíon de la monografía:...
Bloquear ataques DoS con mod_evasive (para Apache)
Una ataque de Denegación de Servicio, por su concepción, es dificil de parar si su único objetivo es colapsar el sistema durante cierto tiempo. Sin embargo, cuando estos ataques van dirigidos contra servidores instalados en l...
Implementación efectiva de IDS
Los sniffers e IDS examinan, registran, o actúan sobre el tráfico de red. Prepararse para implementar un sistema de detección de intrusos, o IDS, como parte de su estrategia integral de seguridad, significa conocer a fondo la arquitectura de su re...
Ingeniería Inversa... una alternativa para llegar al conocimiento
Si escribimos en Google.com las palabras Ingeniería Inversa, nos devuelve 328,000 páginas en español y inglés. Este texto no pretende ser un manual de como hacer Ingeniería Inversa solo es un bosquejo para dar una idea general de lo que es....
Instalar gnome3 en Ubuntu / LinuxMint y derivados
Existen diferentes métodos, de hecho desde el Centro de Software se puede hacer. Buscando por internet usando a Tio Google conseguí que el 99% de los sitios recomendaban esta forma: Abriendo consola escribimos: ...
El mundo de la Informática Forense
(Capitulo I) La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplic...
Guía de operaciones de seguridad para Windows 2000 Server (PARTE II)
Una vez determinado el nivel de riesgo apropiado para el entorno y establecida la directiva de seguridad general, deberá empezar a asegurar el entorno. En un entorno basado en Windows 2000, esto se lleva a cabo principalmente por medio de la Directi...
Instalación y Configuración de Counter Strike Source con Wine (GNU/Linux)
1.- Primero debemos asegurarnos que nuestro hardware de video esta en óptimo Leer: Como activar Aceleracion 3D y OpenGL de Nvidia http://www.ubuntu-es....
Manual sencillo para novatos en el uso de GIT
Para la instalación sigue estas instrucciones: Abre una consola y copia esto: sudo apt-get install libcurl4-gnutls-dev libexpat1-dev gettext libz-dev libssl-dev git Y Listo!, ahora: Para crea...
Thunar: Opción de Buscar archivos
Por default Thunar no posee la opción de Buscar Archivos, por lo que tenemos que recurrir a este pequeño truco: Instalamos: sudo aptitude install zenity thunar-archive-plugin Creamos...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cabeceras
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra