Visualizzazione post con etichetta server web. Mostra tutti i post
Visualizzazione post con etichetta server web. Mostra tutti i post

lunedì 3 maggio 2021

Windows Server 2019: Installare IIS

Internet Information Services (IIS) è un insieme di servizi server Internet per sistemi operativi Microsoft Windows. Si tratta di un server web flessibile e per uso generale che gira su sistemi Windows e consente di ospitare pagine HTML o file da condividere. Lo scopo di IIS su Windows Server 2019 è quello di fornire una piattaforma per ospitare siti web, servizi e applicazioni e rispondere alle richieste dei computer client remoti. I server web possono essere utilizzati per condividere e fornire informazioni attraverso le reti locali (LAN), come le intranet aziendali, e le reti ad ampio raggio (WAN), come Internet. 

IIS non viene installato di default. In questo articolo vedremo passo passo come installare IIS. E' preferibile non installare IIS sui server dove è stato installato Windows Server Update Service in quanto anche WSUS installa un web server utilizzato dai client per scaricare gli aggiornamenti. 

Installazione di IIS

  • Da Server Manager, nella sezione Dashboard, cliccare su Aggiungi ruoli e funzionalità
    Server Manager
    FIG 1 - Server Manager

  • Cliccare sempre su Avanti fino a Ruoli server
    Aggiunta guidata ruoli e funzionalità
    FIG 2 - Aggiunta guidata ruoli e funzionalità

    Tipo di installazione
    FIG 3 - Tipo di installazione

    Selezione dei server
    FIG 4 - Selezione dei server


  • In Ruoli server selezionare Server Web (IIS)
    Ruoli server
    FIG 5 - Ruoli server

  • Nella finestra che appare verranno mostrare ulteriori funzionalità che verranno installare per il corretto funzionamento di IIS. Cliccare su Aggiungi funzionalità
    Funzionalità necessarie per Server Web (IIS)
    FIG 6 - Funzionalità necessarie per Server Web (IIS)

  • Cliccare su Avanti
    Ruoli Server, Server Web (IIS)
    FIG 7 - Ruoli Server, Server Web (IIS)

  • Nella schermata successiva, non dovendo installare ulteriori funzionalità, cliccare su Avanti.
    Funzionalità
    FIG 8 - Funzionalità
  • Una finestra mostra le funzionalità del ruolo di IIS. Cliccare su Avanti
    Ruolo Server Web (IIS)
    FIG 9 - Ruolo Server Web (IIS)

  • Cliccare su Avanti
    Servizi ruolo
    FIG 10 - Servizi ruolo

  • Nella sezione conferma cliccare su Installa
    Conferma selezioni per l'installazione
    FIG 11 - Conferma selezioni per l'installazione

  • Al termine dell'installazione, cliccare su Chiudi
    Installazione IIS terminata
    FIG 12 - Installazione IIS terminata

Verifica funzionamento Server web (IIS)

Per il verificare il funzionamento di IIS basta aprire un browser e digitare, nella barra indirizzi, l'indirizzo IP del server (nel nostro caso 192.168.1.122) o il suo nome (ad es. server2dc.mycompany.local). Verrà visualizzata la pagina di benvenuto mostrata in FIG 13.
IIS pagina di benvenuto
FIG 13 - IIS pagina di benvenuto
I file della pagina visualizzata si trovano in C:\inetpub\wwwroot. Se si intende pubblicare una propria pagina/sito web basta eliminare i 2 file contenuti all'interno della cartella e copiare quelli del proprio sito. 
ISS C:\inetpub\wwwroot.
FIG 14 - ISS C:\inetpub\wwwroot


Accedere al sito tramite l'indirizzo IP del server o tramite il suo nome non è comodo. Se vogliamo permettere l'accesso al sito web tramite un nome del tipo www.mycompany.local o www.mycompany.com bisogna effettuare una modifica sul server DNS che mostrerò nel prossimo articolo.

venerdì 8 giugno 2018

Kali Linux: Eseguire la scansione delle vulnerabilità delle applicazioni web con WMAP

Originariamente sviluppato a partire dal tool SQLMap, WMAP è un potente strumento che consente di verificare eventuali vulnerabilità di applicazioni web tramite il Framework Metasploit.
Si tratta di uno scanner di vulnerabilità di applicazioni web integrato in Metasploit. In questo articolo verranno mostrati i passi da seguire per verificare la presenza di eventuali vulnerabilità di un server web. A tale scopo verrà utilizzata la distribuzione Kali Linux che integra tutti gli strumenti necessari.

ATTENZIONE:
Danneggiare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.


Prima di procedere è consigliabile aggiornare tutti i pacchetti installati in Kali Linux alle versioni più recenti lanciando i seguenti 2 comandi da terminale
sudo apt-get update
sudo apt-get upgrade

WMAP utilizza il database PostgreSQL di Metasploit per memorizzare i risultati della scansione pertanto, prima di avviarlo, è necessario attivare/verificare la connessione al database. 
Avviare il servizio postgresql tramite il seguente comando da terminale
sudo service postgresql start
quindi inizializzare il database eseguendo il comando
sudo msfdb init
Avvio del servizio PostgreSQL e inizializzazione del database
FIG 1 - Avvio del servizio PostgreSQL e inizializzazione del database
Terminata l'inizializzazione del database, avviare la console Metasploit eseguendo
sudo msfconsole
Avvio della console Metasploit Framework
FIG 2 - Avvio della console Metasploit Framework
All'interno della console Metasploit Framework caricare il plugin WMAP digitando
load wmap
Caricamento del plugin WMAP nella console Metasploit Framework
FIG 3 - Caricamento del plugin WMAP nella console Metasploit Framework
Per poter effettuare la scansione delle vulnerabilità è necessario, tramite wmap_sites e lo switch -a, definire il sito da verificare specificandone l'URL/IP
Ad esempio, supponendo che il server web da verificare abbia indirizzo 192.168.0.10 si utilizza il comando
wmap_sites -a http://192.168.0.10


Definizione siti con wmap_sites
FIG 4 - Definizione siti con wmap_sites
E' possibile specificare più siti. Per visualizzare l'elenco dei siti definiti si utilizza il comando
wmap_sites -l
Visualizzare l'elenco dei siti definiti
FIG 5 - Visualizzare l'elenco dei siti definiti
A questo punto bisogna impostare il sito web come target utilizzando lo switch -t con l'URL/IP o lo switch -d con l'ID. L'ID è quello visualizzato dall'output del comando wmap_sites -l come visibile in FIG 5.
Ad es:
wmap_targets -t http://192.168.0.10
wmap_targets -d 0
oppure, per testare un particolare URL del sito
wmap_targets -t http://192.168.0.10/administrator/index.php


Definizione target con wmap_targets
FIG 6 - Definizione target con wmap_targets

Anche con wmap_targets è possibile utilizzare lo switch -l per visualizzare l'elenco dei target definiti
wmap_targets -l

Eseguire il comando 
wmap_run -t
per visualizzare/predisporre l'elenco dei moduli che verranno utilizzati per la scansione del sistema target definito.
Visualizzare i moduli abilitati con wmap_run
FIG 6 - Visualizzare i moduli abilitati con wmap_run
Per lanciare la scansione del sistema target, eseguire il comando
wmap_run -e
La scansione completa del sistema potrebbe impiegare diverso tempo quindi pazientate.
Esecuzione scansione del sistema target
FIG 7 - Esecuzione scansione del sistema target
Al termine della scansione utilizzare il seguente comando da terminale per visualizzare l'elenco delle vulnerabilità riscontrate
vulns
Visualizzare l'elenco delle vulnerabilità riscontrate
FIG 8 - Visualizzare l'elenco delle vulnerabilità riscontrate
Le vulnerabilità individuate saranno evidenziate tramite l'identificatore CVE (Common Vulnerabilities and Exposures). Per verificare la disponibilità di eventuali exploit basterà effettuare una ricerca su google o su www.exploit-db.com.