Cabeceras de seguridad en Apache - PHP




Existen diferentes cabeceras o headers de seguridad para sitios web brindando una seguridad extra a los usuarios.

X-Content-Type

Para evitar algunos tipos de drive-by-descargas. Está opción rechazará las respuestas con tipos MIME incorrectos si el servidor envía la respuesta de cabecera "X-Content-Type-Opciones: NOSNIFF". Esta es una característica de seguridad que ayuda a prevenir los ataques basados ​​en el tipo MIME confusión. evitando que se envie al navegador el archivo.

en .htaccess


Header set X-Content-Type-Options nosniff

en PHP

header('X-Content-Type-Options:nosniff');

Preveer Ataques Clickjacking

Las posibles opciones de esto son:

  • SAMEORIGIN: Esta configuración permitirá que la página que se mostrará en el marco en el mismo origen que la propia página.
  • DENY: Esta configuración evitará una página que muestra en un marco o un iframe.
  • ALLOW-FROM uri: Esta configuración permitirá que la página que se mostrará sólo en el origen especificado.

en .htaccess


Header always append X-Frame-Options SAMEORIGIN

en PHP

header('X-Frame-Options:SAMEORIGIN');

XSS-Protection

La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que poseen los navegadores nuevos.

Se trata de una capa de seguridad adicional que bloquea ataques XSS

en .htaccess


Header set X-XSS-Protection “1; mode=block”

en PHP

header('X-XSS-Protection:1;mode=block');

HTTP Strict Transport Security (abreviado como HSTS)

Es una capa de seguridad que le indica a los navegadores que deben usar el protocolo HTTPS

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Resumiendo:

.htacces


header('X-Content-Type-Options:nosniff');
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection “1; mode=block”

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

header.php

header('X-Content-Type-Options:nosniff');
header('X-Frame-Options:SAMEORIGIN');
header('X-XSS-Protection:1;mode=block');
$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Verificar con Mozilla
Observatory.Mozilla

Revisar tu sitio:
Sucuri

Lectura recomendada:
Sucuri



Otras artículos de interés:

Reparar error de NO_PUBKEY Ubuntu/LinuxMint y derivados
A veces al actualizar nuestro sistema nos envia un error como este: W: Error de GPG: http://ppa.launchpad.net natty Release: Las firmas siguientes no se pudieron verificar porque su llave pública no está disponible: ...
Instalar Antivirus ClamAV CentOS 6
ClamAV es un software antivirus open source para las plataformas Windows, Linux y otros sistemas operativos semejantes a Unix. Es uno de los antivirus de software libre más usados, tanto en servidores como en equipos personales. Si quieres ...
Cambiar la Mac Address por consola en Linux Debian - Ubuntu - Mint
Diferentes dispositivos escanean la MAC Address de los equipos que se conectan a ellos. De esa forma se puede llevar el seguimiento de nuestros [movimientos]. Ahora, para brindar algo más de anonimato es necesario cambiar periódicamente nuestra ...
Cómo diseñar un sitio web exitosa!!!
Cualquier persona puede construir un sitio web; sin embargo, no todo el mundo puede construir un sitio web capaz de generar dinero. Un diseñador debe dedicarle mucho tiempo a establecer cuál va a ser el propósito de su página y cómo van a inter...
Instalar Turpial, cliente (linux) twitter Venezolano
Turpial ha demostrado ser un cliente ligero y de excelente calidad desarrollado en phyton para plataforma GNU/linux, para instalarlo solo debes realizar lo siguiente: ...
Seguridad Básica en GNU/Linux (IV Parte)
Seguridad del Sistema de Archivos Una norma básica de seguridad radica en la asignación a cada usuario sólo de los permisos necesarios para poder cubrir las necesidades de su trabajo sin poner en riesgo el trabajo de ...
Activar la persistencia en Xanadu GNU/Linux
Desde el blog de la distribución Xanadu GNU/Linux indican como activar la persistencia de una forma bastante sencilla. Procedimiento: Una vez copiado el contenido de la ISO a una memoria USB con el comando dd....
MYSQLBFTOOLS - Sacando provecho a inyecciones "CIEGAS" de sql.
MySqlbf es una herramienta de pentest que nos permite extraer información de una base de datos MySQL realizando un ataque de fuerza bruta sobre aplicaciones web vulnerables a una inyección “ciega” de SQL (Blind SQL Inject...
Recuperando el password de root en MySQL.
MySQL es un potente servidor de Base de Datos GNU/Open Source, que ha ganado bastante popularidad y aceptación entre la comunidad, por su versatilidad, facilidad de uso y numerosas características que hacen de MySQL una buena opci&oac...
Discos RAID
RAID (Redundant Array of Inexpensive Disks): Consiste en una serie de sistemas para organizar varios discos como si de uno solo se tratara pero haciendo que trabajen en paralelo para aumentar la velocidad de acceso o la seguridad frente ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cabeceras
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra