¿Qué tan seguro es el funcionamiento de IIS junto con XAMPP?

Navega tus respuestas
2

Estoy usando IIS para el servidor web & ejecute phpMyAdmin a través de IIS.

Pero ahora, vi a alguien usar IIS y XAMPP. Hay algo que quería saber. 

Usually they set : XAMPP to localhost:81 or localhost:whatever

Algo que quería saber es que la ejecución de phpMyAdmin dentro de IIS es más segura que la ejecución de phpMyAdmin a través de IIS.

Entonces, ¿cuál es mejor? 

1. Using IIS to run webserver (PHP) and phpMyAdmin
2. Using XAMPP inside IIS, then run webserver (PHP) using IIS and phpMyAdmin using XAMPP

Hay algo que sé, no puedo acceder directamente a phpMyAdmin si se ejecuta en localhost:81 , si necesito acceder a phpMyAdmin debería abrir mi servidor. Pero alguna vez me piratearon cuando uso XAMPP para ejecutar PHP y phpMyAdmin.

Buscaba la respuesta en muchos sitios, pero aún no obtuve la respuesta.

    
pregunta Zinc 17.05.2018 - 09:37
fuente

1 respuesta

1

Efectivamente, nunca querrá consolas administrativas, aplicaciones administrativas o aplicaciones inseguras expuestas a redes que no sean de confianza, como Internet.

Es posible ejecutar estas aplicaciones web en otros puertos internos o simplemente puertos que no son accesibles para el mundo exterior u otras redes no confiables, y luego acceder a las aplicaciones web a través de una VPN. Esto le permitiría realizar una VPN a su servidor para realizar tareas de configuración basadas en la web y / o utilizar las aplicaciones que no son de confianza sin exponerlas a Internet o a redes que no son de confianza.

La preocupación es que, en algunos casos, cuando agrega estas herramientas de administración basadas en la web, estas pueden exponerse tanto a la red externa (no confiable) como a la interna (confiable) al mismo tiempo , especialmente si Es a través del mismo servidor demonio. Así que querrás hacer una prueba para confirmar que este no es el caso.

Alternativamente, lo que algunas personas hacen es ejecutar dos servidores web diferentes en el mismo sistema (por ejemplo, podría ejecutar IIS para aplicaciones externas en los puertos 80 y 443, luego ejecutar Apache con otra aplicación en un alto nivel). un puerto como el 32443 que está bloqueado por un firewall o se ejecuta en una dirección de bucle de retorno interno como 127.0.0.1. Hay muchas maneras de hacerlo.

Vuelve a tu pregunta de riesgo relativo. El sistema con más código / aplicaciones accesibles a las redes que no son de confianza correrá un mayor riesgo debido a las redes que no son de confianza. Si está comparando dos aplicaciones una al lado de la otra, será una comparación relativa en un momento dado. teniendo en cuenta los controles de seguridad establecidos para cada aplicación en su nivel de versión más actual.

En una comparación directa de los dos siguientes: 

1.) ISS + PHP + phpMyAdmin  
2.) ISS + PHP + phpMyAdmin + XAMPP

Uno esperaría que la segunda combinación tenga más vulnerabilidades en un momento dado porque expone más la superficie de ataque. Hay excepciones en las que el software agregado agrega controles de seguridad adicionales, pero en general Esta es una forma fácil de ver la superficie de ataque expuesta.

Nota: Hay muchas otras formas de resolver el problema que intentas resolver. También puede usar herramientas como mod_security y también el uso de IP estáticas con configuraciones de firewall.

Finalmente, debo señalar que no importa en qué dirección vaya, deseará hacer mucho más para proteger este sistema si está expuesto a Internet.

    
respondido por el Trey Blalock 24.05.2018 - 10:11
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los riesgos de publicar fotos familiares en línea sin ningún control de acceso? exploit basado en SEH