Preguntas con etiqueta 'iis'

preguntas con etiqueta
0
respuestas

Microsoft IIS 7.5 del DBA SQLi basado en tiempo al shell

Estoy tratando con un SQLi basado en el tiempo en un servidor Microsoft IIS 7.5 y quiero cargar un shell. Mi enfoque es obtener la ruta interna de la aplicación y luego intentar cargar un archivo con sqlmap --file-write "shell.aspx" --file...
hecha 08.11.2016 - 15:50
0
respuestas

IIS con autenticación de Windows: ¿podemos saber que un usuario autenticado se habría conectado desde una máquina en el dominio?

Si tengo una aplicación web ASP.net configurada para usar la autenticación de Windows solo en IIS, ¿Se sigue que cualquier usuario autenticado debería haberse conectado desde una máquina que se haya unido al dominio? ¿Hay alguna diferencia si...
hecha 30.01.2017 - 14:17
1
respuesta

Certificados de cliente de IIS: ¿Necesito asignaciones de certificados de cliente?

Creé un certificado raíz autofirmado, un certificado ssl y un certificado de cliente usando makecert util. Creé el sitio en IIS , habilité la configuración " Requerir SSL" y "Requerir certificado de cliente" . Este sitio utiliza mi certific...
hecha 09.08.2016 - 13:21
0
respuestas

allowdoubleescaping = verdaderas implicaciones de seguridad

IIS no permite el doble escape por defecto, lo que es una buena práctica. ¿Cuáles son las implicaciones reales si están habilitadas? ¿Cómo se ve un escenario de ataque válido en este caso? utiliza doble escape? ¿Y de qué debería ocuparse...
hecha 10.10.2016 - 15:04
0
respuestas

Servidor web | IIS | Configurando para no ejecutar ciertos archivos [cerrado]

Actualmente tengo un servidor web que ejecuta Windows Server 2012 que ejecuta IIS como servidor web y usa PHP. Supongamos que un usuario puede cargar un troyano en mi servidor, ya sea a través de un sitio alojado vulnerable o tal vez a través...
hecha 07.07.2015 - 10:18
0
respuestas

IIS | Bloqueo de ejecucion de archivos en directorio.

Estoy tratando con subidas de usuarios a través de una aplicación PHP. Quiero asegurar el servidor para que no haya explotaciones disponibles para el usuario, como cargar un shell php y ejecutarlo. Lo he configurado para que todas las carg...
hecha 02.03.2015 - 15:53
0
respuestas

¿dónde encontrar una demostración detallada sobre cómo imitar el exploit de secuestro de token de Argeniss?

Estoy buscando una forma de explotar la Venganza de Secuestro Token por parte de Argeniss. (La vulnerabilidad se explica en aquí ) Estoy estudiando seguridad (principiante) y me gustaría imitar el ataque para ver exactamente qué hace y cómo...
hecha 09.05.2014 - 18:25
2
respuestas

Use la misma clave IIS RSA en todos los servidores

Estoy trabajando en la estandarización de las compilaciones de nuestros servidores donde actualmente tenemos tres grupos funcionales diferentes. Para los grupos web, uso la misma clave IIS RSA en todas las máquinas. Mantiene la vida fácil y p...
hecha 26.02.2014 - 19:23
1
respuesta

django-python3-ldap ¿TLS encripta las contraseñas de AD cuando el sitio está alojado en http

He implementado django-python3-ldap y he integrado AD con mi proyecto Django. El proyecto se alojará en IIS como un sitio de intranet que se sirve únicamente a través de http. Estoy decidiendo entre usar esta solución o RemoteUserBackend de Djan...
hecha 02.02.2018 - 18:29
1
respuesta

Cifrado de datos en una aplicación de carga equilibrada, ¿estoy haciendo esto bien?

Una aplicación web que estoy desarrollando necesita almacenar algunos datos confidenciales en una base de datos. Necesito poder recuperar y usar estos datos más adelante, por lo que el hash no es suficiente. La aplicación web podría, en algún...
hecha 09.01.2014 - 11:43