Всем добрый день! Меня зовут Михаил Жмайло, я пентестер в команде CICADA8 Центра инноваций МТС.

На проектах часто встречаются инстансы Internet Information Services (IIS). Это очень удобный инструмент, используемый в качестве сервера приложений. Но знаете ли вы, что даже простое развёртывание IIS может позволить злоумышленнику оставить бекдор в целевой среде?

В статье я покажу закрепление на системе, используя легитимный продукт Microsoft — Internet Information Services. Мы попрактикуемся в программировании на C++, изучим IIS Components и оставим бекдор через IIS Module.

Договоримся сразу: я рассказываю это всё не для того, чтобы вы пошли взламывать чужие системы, а чтобы вы знали, где могут оставить бекдор злоумышленники. Предупреждён — значит вооружён.

Эксперты Лаборатории Касперского обнаружили вредоносный модуль Internet Information Services, делающий из веб-приложения Outlook on the web инструмент воровства учетных данных и аналог панели удаленного доступа. Модуль получил название OWOWA.

Исследователи CyberNews заявили, что они выявили более 2 млн веб-серверов, работающих на устаревших, не обслуживаемых и уязвимых Microsoft Internet Information Services (IIS).

• Итоги конференции E3
• Kinect
• Office 2010 ушел в магазины
• Добавлена новая подписка TechNet Standard всего $199
• Microsoft планирует выпуск новой мобильной OS (Windows Embedded Handheld)
• Flash и AIR для Windows Phone 7 в 2011?
• Microsoft намерена платить деньги за портирование игр для Windows Phone 7
• Вышел IIS Media Services 4.0 Beta
• PowerPivot 2 сможет работать с 2 миллиардами (!!!) строк Excel
• Hotmail Wave 4. Когда в России?

• HP подтверждает планшет на базе WebOS
• Планшет Pioneer
• Cisco представляет планшет на базе Android
• Toshiba и Intel компьютер для детей в школах Японии
• Первый 3D-ноутбук от Lenovo
• Sony отзывает 535 000 ноутбуков
• Kin в Европе провалился, даже не начав продажи.Открыт виртуальный мемориал
• OneApp — еще один телефонный проект от MS
• Мышь Arc Touch Mouse от Microsoft
• Батарейки по по рецепту Майкрософт
• Google купила сервис для путешественников за 700 млн.$
• Национальный поиск (Россия) вербует всех, всех, всех?
• YouTube защищает Flash
• Уязвимость в YouTube
• Финал Imagine Cup 2010 в Варшаве
• Windows 8 получит магазин приложений? И прочие утечки про Win8
• Первая в истории живая трансляция 3D-видео гонок NASCAR с помощью Silverlight
• Microsoft на Хабре. Лучше поздно, чем никогда
• Вышел Microsoft Silverlight PivotViewer
• MEF 2
• Анонсы SQL Compact 4 и IIS Express и Razor
• IE вырос впервые за год. Почему?
• 2 млрд. загрузок дополнений Firefox

• CES 2011
  • Apple App Store
  • Android 3
  • Microsoft Touch Mouse
  • Windows на ARM
  • Surface 2.0
  • 3D даже в дверном глазке
• Google отказывается от h264
• ASP.NET MVC3, WebMatrix, SQL Compact 4.0, Nuget, IIS Express 7.5
• HTML5 Camp
• Логотоип HTML5
• Excel — 25 лет
• Эрик Шмидт — от перестановки слагаемых сумма не меняется
• Уход Боба Маглия

Имеем ASP.NET web приложение. Проблема в том, что приложение может выполнять как "обычные" запросы так и тяжелые запросы построения отчетов. Все запросы по умолчанию выполняются в одном Application Pool. И в случае обработки запросов на построение отчетов страдает производительность.

Задача: вынести построение отчетов в отдельный Application Pool на отдельный домен. Допустим основной сайт расположен на домене main.domain.xyz. Нам требуется все GET запросы содержащие в URL /Reports/Run обрабатывать на другом домене reports.domain.xyz.

В моей практике мы часто сталкиваемся с простейшими задачами, которые в свою очередь несут огромную пользу, но полного манула найти не просто и приходится собирать по крупицам. Статью пишу по большей степени для себя, так как сертификат Let’s Encrypt создается на 3 месяца и каждый раз приходится искать ссылки и запросы в терминале (заново все собирать по крупицам).

В этой статье я расскажу, как установить SSL сертификат Let’s Encrypt, созданный на MacOS, на IIS сервер.

Приветствую всех, если вас заинтересовала статься значит вы тем или иным образом стыкались или интересовались данным вопросом, либо просто почитать.

Данный кейс с реальной практики, проект начался в начале 2019 и все "n" баз были переведены в течении полугода на доменную авторизацию(надеюсь все понимают что это значит), но мне больше нравится SSO.

Значит что имеем.

• Установка и настройка (90 статей)
• Развертывание веб-приложения (39 статей)
• Управление и поддержка (32 статей)

• Как установить PHP на Windows
• Как запустить WordPress на IIS
• Как установить PHP на Windows и запустить WordPress на IIS с помощью Web Platform Installer