مصارحة حرة : بغداد عزيزة المقام يا بن همام

Posted on 16 July 2009 by [email protected]

ليت اللقاء يطول في ليل بغداد الآمن .. أمنية صدحت بها مشاعر كل من حضر مراسيم توقيع رسالة العراق الرياضية في ملعب الشعب الدولي اول امس بعد ان تحول لقاء منتخبنا الوطني بشقيقه الفلسطيني الى ملحمة جماهيرية تاريخية سطرها اكثر من خمسين الف مشجع لم تسعهم المدرجات فرصفوا اجسادهم بالقرب من المرميين وكأنهم يتأهبون للمشاركة الفعلية في المباراة التي زادت حلاوتها الأهداف الأربعة عربون صبرهم الجميل منذ ساعات الصباح الاولى.

لعلها المرة الاولى التي تشهدها ملاعب الكرة ان تسقط البروتوكولات المعتادة بين الاتحادات الوطنية و( فيفا) في مثل هذه القضايا التي عبر عنها الجمهور الوفي في الرسالة العفوية التي اكدت حقوقنا الشرعية برفع الحظر الدولي عن رياضتنا ليست بحاجة الى توقيع رئيس اتحاد الكرة حسين سعيد ، بل مهرتها اصابع آلاف المشجعين تدمّت من حرارة التصفيق لتحية ابناء فلسطين الابطال الذين لم تثنهم محاذير اصحاب النوايا السود ولا اطنان التراب في اجواء البرد من تلبية نداء بغداد باتمام العرس الكروي الذي بدأ في اربيل لتكون الرسالة متكاملة المضمون لمن يقرأ اوجه اللقاء بقلب سليم وعقل غير منغلق ازاء الحق العراقي.
Continue reading

Posted in Sport | Comments Off on مصارحة حرة : بغداد عزيزة المقام يا بن همام

Disabling SSLv2 & Weak CipherSuites Support in Apache Tomcat

Posted on 11 July 2009 by [email protected]

السلام عليكم ورحمة الله وبركاته

نفس الخلل الذي ظهر عندي في خادم Apache من أجل فحص الحصول على PCI Compliance ظهر في خادم Tomcat وهو وجود Weak supported SSL ciphers suites … وبصراحة أنا ما لي خبرة في Tomcat ولهذا كان لازم أبدأ بالقراءة عنه وعن طريقة عمله وإعداداته … والحمد لله بعد القراءة عرفت أين ملفات الإعداد وكيف أقوم بحل المشكلة … الآن كل الذي عليك فعله هو التالي:

أذهب الى المجلد الخاص بملفات Tomcat (سيختلف من توزيعة لأخرى ومن تنصيب لآخر) ومن ثم قم بتحرير ملف الإعدادات الخاص بالخادم:
vim server.xml

وأبحث عن الـ SSL port connector أي الحقول الخاصة بموصل الـ SSL … مثال:
< Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="SSLv3" ciphers="EDH-RSA-DES-CBC3-SHA,DES-CBC3-SHA,DHE-RSA-AES128-SHA,AES128-SHA" keystorePass="KeyStorePassOfYours" keystoreFile="/path2ssl_keystore/ssl/example.com.pem.keystore"/>

قم بتغييرهم ليصبحوا هكذا:
Continue reading

Posted in Apache/Tomcat, Footprinting, PCI Compliance, PenTest, Security, Web Security | Tagged , , , , , , | 5 Comments

ASP.NET Debug Method Enabled

Posted on 11 July 2009 by [email protected]

السلام عليكم ورحمة الله وبركاته

مشكلة أخرى ظهرت عندي عند عمل فحص على PCI Compliance وكانت بإنه الـ Debug مفعل في ملفات ASP.NET وهذه تكشف بعض المعلومات التي لا يفترض يتم كشفها إلا للأشخاص المصرح لهم بذلك authenticated users … ولهذا عليك بإيقاف ذلك أو عمل تعطيل لها من خلال التالي:

قم بفتح ملف Web.config بأي محرر مثل Notepad أو غيره … وبعد ذلك أبحث عن مكان وجود الخيار debug … ستجده يساوي true قم بتغييره الى false وخلاص أنتهى الأمر :)

مثال: Continue reading

Posted in Apache/Tomcat, Footprinting, PCI Compliance, PenTest, Security, Web Security, Windows | Tagged , , , , | 4 Comments

Solution: CrossDomain.xml File Has Allow-all Policy

Posted on 11 July 2009 by [email protected]

السلام عليكم ورحمة الله وبركاته

هذه مشكلة أخرى ظهرت لي أثناء الفحص للحصول على PCI Compliance وهي موجودة في خادم Tomcat … طبعاً هي ممكن تكون خلل في حالات وفي حالات أخرى لا … إن كانت تعرض بيانات للعامة أو غير موجودة خلف جدار ناري الشركة وغيرها … في هذه الحالات ممكن يكون Allow all غير ذلك لا … في حالتي الأمر لا يجب ان لا يتم ربطها إلا مع بيانات تأتي من دومين أو IP معيين … ولهذا الحل كان هكذا:

أفتح الملف:
vim crossdomain.xml

وبدل من كون الملف إعداداته هكذا (أنظر الصورة):

Continue reading

Posted in Apache/Tomcat, PCI Compliance, Security, Web Security | Tagged , | 3 Comments

Howto Check What SSL Protocol Version & Ciphers a Domain is Using

Posted on 8 July 2009 by [email protected]

السلام عليكم ورحمة الله وبركاته

أكيد قرأت الموضوع السابق بعنوان Disabling Weak SSLv2 Support in Apache Server والآن تتسائل كيف تقوم بالتحقق من عملك تم بنجاح أم لا … أو كيف تتحقق من نسخة البروتوكول والمشفرات التي على دومين معيين؟ جواب هذا السؤال هو هذا الموضوع إن شاء الله …

بعد إكمالي لإعداد الأباتشي في موضوعي السابق … كان يجب أن اقوم بالتحقق من النتائج ليس فقط من McAfee Secure وإنما من خلال إستعمال أدوات أخرى … ظروري تستعمل أكثر من أداة للفحص الذي تقوم به … ولهذا إستعملت أدوات عدة، وهي:
OpenSSL
cURL
SSLThing
SSLDigger

الآن، للفحص بوجود SSLv2 من خلال openssl نفذ التالي:
openssl s_client -ssl2 -connect example.com:ssl_port
Continue reading

Posted in Footprinting, PenTest, Security, Web Security | Tagged , , , , , , , | 5 Comments