Windows Server 2008 no tan seguro como lo viste Microsoft

28 03 2008
Windows Server 2008

En su línea habitual, Microsoft afirma que Windows Server 2008 (que por cierto acaba de ser adoptado por MySpace) es el servidor Windows más seguro que nunca ha creado, pero -como también viene siendo habitual- no todo el mundo parece estar de acuerdo.

Así César Cerrudo, fundador y CEO de la empresa argentina Argeniss, afirma haber encontrado algunas debilidades que convertirían en inútiles las mejoras de seguridad de Windows Server 2008.Para Cerrudo, se trata de problemas de diseño que no fueron identificados por los ingenieros de Microsoft durante el Security Development Lifecycle (SDL) y que permiten que cuentas utilizadas normalmente por servicios Windows puedan utilizarse para una escalada de privilegios que permita el control total del sistema operativo…Microsoft ha manifestado estar al corriente de los trabajos de Cerrudo, pero no reconoce en ellos ninguna nueva vulnerabilidad, sino que afirma que sólo describen cuestiones de diseño, ya que las cuentas que señala Cerrudo (NetworkService y LocalService) deben ser consideradas al mismo nivel que la de Administrador, sin que Cerrudo describa cómo un atacante podría hacerse con el control de las mismas.Al parecer Microsoft invitó a Cerrudo a demostrar sus afirmaciones en Blue Hat, pero el investigador (que planea explicar los detalles en HITBSecConf2008 el próximo 17 de Abril) alegó “problemas de agenda” para rechazar la invitación.

Referencias:

Vía: Kriptópolis

Anuncios




Instalación de PHP+MySQL+Apache en plataformas Win32con XAMPP

27 03 2008

En este texto explicaremos como montar un servidor web Apache con PHP5 y MySQL de forma local para realizar pruebas de nuestras páginas web. Para ellos vamos a utilizar un programa llamado Xampp que nos va a facilitar mucho el trabajo.

¿Qué es XAMPP?

XAMPP Logo Tr�o

Según Wikipedia:

XAMPP es un servidor independiente de plataforma, software libre, que consiste principalmente en la base de datos MySQL, el servidor web Apache y los interpretes para lenguajes de script: PHP y Perl. El nombre proviene del acrónimo de X (para cualquiera de los diferentes sistemas operativos), Apache, MySQL, PHP, Perl. El programa esta liberado bajo la licencia GNU y actúa como un servidor web libre, fácil de usar y capaz de interpretar páginas dinámicas. Actualmente XAMPP esta disponible para Microsoft Windows, GNU/Linux, Solaris, y MacOS X.

Resumiendo:

Es un servidor multiplataforma bajo la licencia GNU con Apache y soporte para PHP, MySQL y Perl, de fácil instalación y configuración. Nos puede servir principalmente para probar nuestras páginas web antes de subirlas a la red.

Podemos descargar la última versión para Windows de aquí:

http://www.apachefriends.org/download.php?xampp-win32-1.6.6a-installer.exe

Aquí están el resto de paquetes disponibles.

http://www.apachefriends.org/en/xampp-windows.html#641

Instalación

Solo tiene 3 idiomas: English, Deutsch y Japanese. Elegimos el que más cómodo nos resulte.

XAMPP 1

Escogemos la carpeta en la que se instalará, por defecto “C:\xampp\”.

XAMPP 2

Ahora elegimos algunas opciones de la instalación:

XAMPP 3

Las 2 primeras son para que cree el icono en el escritorio y el grupo en el menú inicio. Cada uno que elija a su gusto si quiere marcarlas o no. Las otras 3 es mejor dejarlas desmarcadas (por defecto) ya que sino Apache, MySQL y Filezilla se iniciarían con el sistema y no es necesario, ya que se pueden ejecutar manualmente cuando se quiera desde el Panel de control de Xampp. Le damos a Install y esperamos mientras se instala.

Al terminar le damos a Finish y nos preguntará si queremos iniciar el panel de control. No es necesario iniciarlo ahora porque primero vamos a configurar una cosa del Apache.

Para configurar debidamente Apache habría que hacer bastantes cosas, pero aquí solo vamos a configurarlo de forma básica para hacer pruebas de nuestras páginas web de forma local. Nos dirigimos a la carpeta de Xampp, luego a la carpeta Apache y después a Conf. Si hemos instalado Xampp en la carpeta por defecto la ruta sería esta: C:\xampp\apache\conf

Ahí tenemos el archivo httpd.conf. Lo abrimos con el Bloc de notas y buscamos donde ponga DocumentRoot “C:/xampp/htdocs” y <Directory “C:/xampp/htdocs“>

Ahí es donde se indica la carpeta donde se guardan los archivos de la web (por defecto C:\xampp\htdocs\). Para no mezclar los archivos que hay en esa carpeta con los que voy a meter yo creo otra carpeta dentro de htdocs y la llamo www. Luego modifico la ruta en el archivo httpd.conf, cambiando C:/xampp/htdocs” por “C:/xampp/htdocs/www“.

Quedaría así:

DocumentRoot “C:/xampp/htdocs/www/”

<Directory “C:/xampp/htdocs/www/”>

Comprobando el funcionamiento del Servidor

Ahora probamos si el servidor funciona correctamente. Creamos un documento html y otro php dentro de la carpeta www. Los llamaremos index.htm e index.php respectivamente.

En el .htm ponemos:

<html>

<head>

<title>Probando Apache…</title>

</head>

<body>

<h1>Probando Apache… Si ves este mensaje significa que Apache está funcionando.</h1>

</body>

</html>

Y en el php:

<html>

<head>

<title>Probando Apache…</title>

</head>

<body>

<?php

echo “Probando PHP…Si ves este mensaje significa que PHP está funcionando.”;

?>

</body>

</html>

Iniciamos el Apache desde el panel de control de Xampp haciendo clic en el primer Start.

XAMPP 4

NOTA: Si al hacer eso Apache no se inicia probablemente sea por un problema con la carpeta que has elegido. Si está en un disco duro distinto de en el que instalaste Xampp tendrás que cambiarla al disco en el que lo instalaste.

Ahora abrimos nuestro navegador y en la barra de direcciones escribimos “http://127.0.0.1/index.htm” (sin las comillas claro).

Nos tendría que salir “Probando Apache… Si ves este mensaje significa que Apache está funcionando.”

Ahora ponemos lo mismo de antes pero cambiando el .htm por .php y nos tendría que salir “Probando PHP…Si ves este mensaje significa que PHP está funcionando.”

Si eso no funciona significa que has hecho algo mal al seguir los pasos.

Ahora que tenemos Apache y PHP funcionando podemos diseñar nuestras webs y ponerlas ahí para probarlas.

Próximamente iniciación al manejo de bases de datos MySQL desde PHP.

Atte: Jorge H.S. Group