25/1/23

COMO ACTIVAR LA PROTECCION "X-XSS SECURITY" DE UNA FORMA SIMPLISIMA EN UN SITIO WEB

 El ataque x-xss segun google es ; El Cross Site Scripting o XSS es un tipo de ciberataque por el cual se buscan vulnerabilidades en una aplicación web para introducir un script dañino y atacar su propio sistema, partiendo de un contexto fiable para el usuario

 En simples palabras es un tipo de ataque en el que pueden inyectar codigos viridicos a un servidor para hackearlo 

Pero son pocos los que salen a aclarar en como parchear el servidor para protejerlo, se puede activar la proteccion ante ataques X-XSS de la siguiente forma; 

((Recordemos en realizar esta proteccion para no solo el directorio principal sino tambien para los subdirectorios)) 

 Primero vamos al directorio principal ((public_html)) buscamos el archivo .htaccess y en la parte de arriba (desde la linea 1 de escritura) pegamos el siguiente codigo 

 <IfModule mod_headers.c>
  Header set X-XSS-Protection "1; mode=block"
</IfModule>

 LO DEMAS , DEL CODIGO QUE YA TENIA EL HTACCESS TIENE QUE QUEDAR DEBAJO DE ESTE CODIGO DE PROTECCION 

Luego para brindar proteccion a los archivos php buscamos el archivo index.php y en la parte de abajo de todo el javascript que halla en index.php colocamos el siguiente codigo 

<html <body <head
header("X-XSS-Protection: 1; mode=block");
</html> </body> </head>

Lo mismo tendriamos que hacer con todos los demas archivos php que tengas en tu pagina  

+++++++++ BONUS TRACK EN PARCHEOS DE SEGURIDAD +++++++++

OTRAS COSAS MUY BUENAS EN CUESTION DE LA SEGURIDAD PARA UNA PAGINA WEB  ES ACTIVAR LA ENCRIPTACION DE LA PAGINA A 4096 BITS, POR DEFAULT TODOS LOS SERVIDORES ESTAN ACTIVOS EN 1024 BITS Y SON POCOS LOS QUE SE METEN A CAMBIARLO O AMPLIAR ESA ENCRIPTACION, SIMPLEMENTE NOS VAMOS AL MENU DE CONTROL LLAMADO "SSL/TLS" Y SELECCIONAMOS EL CASILLERO DE 4096 BITS DE PROTECCION , LUEGO VAMOS A "SSL/TLS STATUS" Y SELECCIONAMOS TODOS LOS DOMINIOS Y SUBDOMINIOS, PARA RENOVAR LA CERTIFICASION , EL BOTON SUELE LLAMARSE "RUN AUTO SSL" EL PROSESO DE RENOVASION TARDARA ENTRE 5 MINUTOS A 15 MINUTOS , MIENTRAS ESTE EN PROSESO DE RENOVACION NO HAGAN NINGUN OTRO CAMBIO EN EL SERVIDOR 

OTRA MEDIDA MUY BUENA QUE NO ENCONTRARAS EN NINGUN MANUAL PARA LA SEGURIDAD DEL SERVIDOR ES ACTIVAR CIERTAS CARPETAS CON LOS PERMISOS EN 0000 DE ESA FORMA NO PODRAN CAMBIAR SU CONFIGURACION NI DE FORMA REMOTA NI DE FORMA LOCAL, RESULTA QUE HAY CARPETAS DE SISTEMA QUE YA SON ANTIGUOS Y NO SE USAN PERO LOS SISTEMAS DE LINUX EN SERVIDORES LOS SIGUEN CREANDO POR DEFAULT POR LAS DUDAS QUE EL ADMIN LOS QUIERA USAR, PERO CONLLEVAN UN RIEZGO GRANDE EN LA SEGURIDAD PORQUE SON PARA LA MANIPULACION DE LA PAGINA DE FORMA REMOTA ACCEDIENDO DESDE UN MODO ESPECIAL , MUCHOS HACKERS UTILIZAN LA MANIPULACION REMOTA DE UNA WEB USANDO ESTAS CARPETAS, POR ELLO ES QUE LAS TENDRIAS QUE CAMBIAR CON MODO DE PERMISOS A 0000 

LAS CARPETAS EN CUESTION SON cgi  ,  cgi-bin , cgi-mod y cgi-sys A ESAS CARPETAS LE DAS PERMISOS DE ACCESO NUMERO 0000  Y SI NO LAS TIENES CREALAS (CON NOMBRE EN MINUSCULA) YA QUE SI TU HOSTING NO TIENE MUCHA SEGURIDAD UN HACKER CON INYECCION VIRIDICA LAS PODRIA CREAR Y LUEGO MANIPULAR EL SITIO WEB USANDO ESAS CARPETAS DE SISTEMA 

LA CARPETA DE SISTEMA .well-known DEBE QUEDAR CON PERMISO DE ACCESO 0644 YA QUE ESTA LIGADO CON LA RENOVACION DE LA ENCRIPTACION SSL Y SU CONFIGURACION DEBE PODER CAMBIAR A MEDIDA QUE HAGA FALTA 


Para verificar que la web halla quedado  con proteccion x-xss , deberias usar la app pingTools testeando ping al modo https , haces ping al archivo index.php de tu dominio web , pulsa sobre uno de los resultados y te mostrara las propiedades del archivo deberias ver este resultado; 


Alli ves "x-xss-protection: 1; mode=block ...quiere decir que quedo bien la proteccion 👌 

Para descargar PingTools podes bajarlo desde aca https://files4.misteriosinexplicables.com/pingtools.apk

 

RECORDA QUE SI PODES ACTUALIZAR A PHP VERSION 8 LO HAGAS YA, PORQUE SE SABE QUE LAS VERSIONES MAS COMUNES QUE SON LA 7.3 SON VULNERABLES A HACKEOS, Y CON LA 7.4 NO ME FIO MUCHO, ES MEJOR SIEMPRE ACTIVAR LA VERSION MAS RECIENTE YA QUE POR ALGO LAS VAN ACTUALIZANDO...EXPERTOS EN SISTEMAS VAN VIENDO VULNERABILIDADES QUE PUEDAN TENER Y SI LE DESCUBREN HUECOS DE SEGURIDAD, ES AHI CUANDO LAS ACTUALIZAN A LAS VERSIONES DE PHP

No hay comentarios:

Publicar un comentario