Preguntas con etiqueta 'iis'

2
respuestas

¿Podría un atacante evitar que IIS registre las solicitudes?

Un atacante ha intentado obtener acceso a uno de mis sitios web a través de un formulario que usa lo que parece ser una inyección ciega de SQL. Es una forma enorme, y se ha probado cada posible permutación de valores, en total unos 18000 de ello...
hecha 24.03.2015 - 09:57
2
respuestas

Las versiones de framework y IIS vulnerables se muestran en una página de error de una aplicación de terceros

Como comprobador de seguridad, debo informar y justificar que una configuración incorrecta de seguridad en una aplicación de terceros es un riesgo para nosotros. A continuación se presenta el escenario: 1.) Existe una aplicación de tercero...
hecha 06.11.2017 - 12:01
3
respuestas

Bloqueo de áreas de administración basadas en web con certificados SSL personales

Me asignaron la tarea de configurar una plataforma segura, donde se me pidió que asignara certificados SSL personales a los administradores, y que el servidor solo permita que las personas ingresen a las áreas de administración que tienen estos...
hecha 27.07.2011 - 11:43
3
respuestas

¿Cómo puede la auditoría de TI para la instalación de IIS Express?

IIS Express es una herramienta de desarrollo para Windows XP y superior, que proporciona el conjunto completo de funciones de IIS, pero sin necesidad de derechos de administrador. He visto discusiones en algunos desarrolladores que están co...
hecha 26.04.2011 - 05:26
2
respuestas

Sitio web de prueba para SSL 2.0

Estoy en el proceso de deshabilitar SSLv2 en nuestro servidor web basado en IIS y me pregunto cómo puedo probar que SSLv2 está realmente deshabilitado. El sitio web todavía está en desarrollo, por lo que no está visible fuera de nuestra organ...
hecha 11.10.2012 - 16:48
3
respuestas

BESTIA: IIS6: Falla de escaneo PCI - ¿están estos cifrados OK?

Nuestro escáner de conformidad con PCI, TrustWave, falló en nuestro sitio Win 2003 / IIS6 en BEAST debido a los siguientes cifrados: Cipher Suite: SSLv3 : DES-CBC3-SHA Cipher Suite: SSLv3 : RC4-SHA Cipher Suite: SSLv3 : RC4-MD5 Cipher Suit...
hecha 14.12.2012 - 17:50
1
respuesta

Cómo remediar TLS POODLE en IIS [duplicado]

He estado luchando para entender cómo remediar completamente TLS POODLE en IIS 7.5. Ya he deshabilitado el soporte SSLv3 para SSL POODLE. Pero de acuerdo con la información que recibí de muchos artículos, boletines, etc. hay otra versión de...
hecha 03.11.2015 - 09:09
1
respuesta

Contraseñas hash para autenticación NTLM

Comprendí que los hashes de contraseña de los usuarios de Windows se pueden exportar muy fácilmente. ¿Derecha? Así que mi pregunta es: Si puedo tener los hashes de otras cuentas de usuario (por ejemplo, usuarios locales en mi máquina con Wind...
hecha 04.05.2014 - 00:10
2
respuestas

cuán inseguro es que el servidor web de Windows IIS tenga privilegios de dominio

Normalmente, en el pasado, he logrado que el servidor de producción solo sirva http (s) a Internet, y está aislado de su base de datos por un firewall que solo permite que las consultas de la base de datos viajen. Sin embargo, tengo una situació...
hecha 28.03.2011 - 21:44
2
respuestas

Con acceso completo al disco de un servidor web IIS, ¿podría acceder al servidor de la base de datos?

Aquí hay una configuración teórica: Tiene un servidor web que ejecuta Windows Server con IIS Tiene un sitio web ejecutándose aquí que se conecta a una base de datos Este sitio web puede iniciarse automáticamente cuando se inicia el servi...
hecha 13.04.2013 - 18:50