Apache

Apacheでマトリョーシカを作ってみる

以前から、「Apache1000本ノック」という単語だけ頭に明滅していたのですが、時間が取れたのでそれに近いものを作ってみました。が、実際にやってみるとノックというよりはマトリョーシカに近いな……と思ったので、ここでは「Apacheマトリョーシカ」として紹…

nginxのchunked取扱い脆弱性と、Apacheでchunkedさせない方法

かなり旧聞だけど、セキュリティホールmemoさんところで知ったnginxの脆弱性。 https://www.st.ryukoku.ac.jp/~kjm/security/memo/2013/05.html#20130513_nginx nginx 1.3.9から1.4.0までchunkedの扱いに問題があり、stack buffer overflowの脆弱性があった…

HostnameLookups Off でも逆引きしてしまう

ある日Apacheのログを見ていたら、HostnameLookupsをOffにしているはずなのに、いつの間にか接続元IPアドレスを逆引きするようになっていることに気がついた。 123.224.247.XXX - - [23/Jul/2013:23:31:18 +0900] "GET / HTTP/1.1" 403 5039 "-" "Mozilla/5.…

Apache 2.2.25とRewriteLogのエスケープと日本語 (CVE-2013-1862)

先日、Apacheの2.2.25がリリースされた(Apache HTTP Server 2.2.25 Released)。今回のリリースノートを見ると、CVE-2013-1862(mod_rewriteのログ出力の脆弱性)が修正されたらしい。ということでその辺りを少し書いてみる。 Apacheのログ出力エスケープとap_e…

オレオレ証明書をopensslで作る(詳細版)

前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これ…

ApacheのMultiviewsで、htmlを多言語対応

index.html.jaとindex.html.enの2ファイルを置いて、日本語版と英語版をApacheまかせで切り換える……ってのは時々見かけていたけど、自分でやろうとしてみたのでちょっとメモ。 導入準備 hoge.htmlをリクエストされたら言語判断をしてhoge.html.ja(もしくはho…