Domande con tag 'iis'

domande con tag
0
risposte

allowdoubleescaping = vere implicazioni sulla sicurezza

IIS non consente la doppia scansione per impostazione predefinita, che è una buona pratica. Quali sono le reali implicazioni se abilitato? Come fa / fa uno scenario di attacco valido in questo caso - quello usa il doppio escape? E di cos...
posta 10.10.2016 - 15:04
0
risposte

Webserver | IIS | Configurazione per non eseguire determinati file [chiuso]

Al momento ho un server web che esegue Windows Server 2012 che esegue IIS come server web e utilizza PHP. Supponiamo che un utente sia in grado di caricare un trojan sul mio server, sia attraverso un sito ospitato vulnerabile che magari con q...
posta 07.07.2015 - 10:18
0
risposte

IIS | Blocca l'esecuzione dei file nella directory

Ho a che fare con i caricamenti degli utenti tramite un'applicazione PHP. Voglio proteggere il server in modo che nessun exploit sia disponibile per l'utente, come il caricamento di una shell php e l'esecuzione. L'ho impostato in modo tale...
posta 02.03.2015 - 15:53
0
risposte

dove trovare una dimostrazione dettagliata su come imitare l'exploit Token Kidnapping di Argeniss?

Sto cercando un modo per sfruttare l'exploit Token Kidnapping's Revenge di Argeniss. (La vulnerabilità è spiegata in qui ) Sto studiando sicurezza (principiante) e vorrei imitare l'attacco per vedere esattamente cosa fa e come accade. Sto us...
posta 09.05.2014 - 18:25
2
risposte

Utilizzare la stessa chiave IIS RSA su tutti i server

Sto lavorando per standardizzare le nostre build di server in cui al momento abbiamo tre diversi pool funzionali. Per i pool Web uso la stessa chiave IIS RSA su tutte le macchine. Mantiene la vita facile e consente di copiare il file applicat...
posta 26.02.2014 - 19:23
1
risposta

django-python3-ldap TLS crittografa le password di AD quando il sito è ospitato su http

Ho implementato django-python3-ldap e AD integrato con il mio progetto Django. Il progetto sarà ospitato su IIS come sito intranet servito esclusivamente su http. Sto decidendo tra l'utilizzo di questa soluzione o il RemoteUserBackend di Django....
posta 02.02.2018 - 18:29
1
risposta

Crittografia dei dati in un'applicazione con bilanciamento del carico - sto facendo bene?

Un'applicazione web che sto sviluppando ha bisogno di memorizzare alcuni dati sensibili in un database. Devo essere in grado di recuperare e utilizzare questi dati in seguito, quindi l'hashing non è sufficiente. L'applicazione web potrebbe, a...
posta 09.01.2014 - 11:43
1
risposta

Un'API XMLRPC esposta in un'applicazione Web rappresenta una minaccia?

Mi è stato assegnato l'incarico di testare uno dei nostri server Web in merito alla sicurezza. Uno dei server esegue IIS 7 e la sua applicazione si basa ampiamente sulle chiamate XMLRPC. Ho trovato che l'API per quelle chiamate era pubblicamente...
posta 24.10.2011 - 15:46
1
risposta

È sicuro utilizzare un account AD per eseguire un pool di app in IIS al fine di fornire autorizzazioni di lettura / scrittura SQL a un'app Web?

Ho lavorato a un'applicazione web Intranet che fornisce accesso in lettura / scrittura, basato su ruoli a un database. Mi è stato chiesto di configurare l'applicazione IIS per utilizzare un account AD per il pool di applicazioni, al fine di f...
posta 20.03.2018 - 15:11
1
risposta

La CSR e la chiave pubblica sono esattamente la stessa cosa?

La CSR e la chiave pubblica sono esattamente la stessa cosa? Ho bisogno del CSR - posso creare una chiave pubblica da .cer e usarla come CSR? Ho bisogno della CSR per la generazione della chiave di backup HPKP. OpenSSL è l'unico modo pe...
posta 06.04.2017 - 22:35