IIS: WebDAV interfiere peticiones PUT y DELETE en servicio WebApi

iis7-banner

Si estas publicando WebAPI en un servidor con IIS7, IIS7.5, IIS8 funcionará bien para las peticiones GET y POST con solo crear el sitio y dejarlo funcionando.

Pero encontraras problemas para responder a las peticiones con los verbos PUT y DELETE porque por defecto, el IIS no responde a estos verbos y se tiene que configurar la extensión del protocolo WebDAV o bien desactivarlo y modificar vuestro web.config

Opción 1 – Activar todos los verbos en WebDAV

  1. Abrir el IIS Manager en el servidor donde está la aplicación web
  2. Seleccionar la aplicacion web en el árbol de “sites” que tiene el servicio WebAPI
  3. Seleccionar el “Handler Mappings” de la aplicación en las opciones del IIS
  4. En la lista que aparece en pantalla, seleccionar double click en “WebDAV”
  5. Pulsar click en “Request Restrictions”
  6. En el tabulador “Verbs” seleccionar “All verbs”
  7. Pulsar OK para guardar los cambios

En la imagen se muestra donde están las opciones a configurar en nuestro IIS:

iis7-handler-webdav

Opción 2 – Desactivar protocolo WebDAV en archivo web.config

Desactivar el protocolo WebDAV y permitir las opciones mediante

Seguridad Ofensiva y Defensiva

Aqui os dejo un video de seguridad informatica del evento realizado en Madrid por la Red Innova 2012, de la mano de cracks como Chema Alonso, Nico Waisman, Javier Santiso.

Interesante información para que la gente común sepa como funciona la compra-venta de exploits en el mercado negro, lo que se paga por ellos y como los gobiernos son uno de los principales compradores y promotores de este tipo de software.

:::

Todos los videos del evento 2012: aqui

Que los disfruteis!!

Seguridad Informatica by Chema Alonso

Excelentes videos donde Chema Alonso, MVP de Microsoft, nos habla de hackers, seguridad informatica en general y seguridad en aplicaciones web, sin lugar a dudas, una de las mejores explicaciones que he visto.

Según las propias palabras de Chema Alonso: “No es la primera vez que me dicen que si soy un actor o un cómico aprende los chistes en lugar de ser informático. Tanto es así, que ya creé de No Lusers en el que explicaba que sí, que es verdad, que lo mío aprendido de memoria, como un monólogo. Pero… qué le vamos a hacer,la vida.”
 
“Os dejo aquí las charlas que di en Creo en Internet, Internet es tuyo y Innova, donde tenéis algunas de esas charlas generalistas de seguridad con me gano esa “¿mala?” fama… }:P”

:::

La Red Innova

:::

Inseguridad de las redes telemáticas

:::

Como nos atacan los hackers y consiguen el control de nuestro PC

:::

Los estandares en internet

:::

100% Recomendados – Que los disfruteis…

Fuente noticia: http://www.elladodelmal.com/2011/11/hacker-comico.html

Seguridad en Aplicaciones.Net

Recientemente he tenido que realizar una serie de rutinas para encriptar y desencriptar datos en una aplicación web y buscando por internet he visto una serie de recursos y enlaces interantes en ingles y castellano que dejo aquí para compartir:

Seguridad de aplicaciones Web ASP.NET

Impersonation in ASP.NET

El concepto de  “impersonación o suplantación” es  la acción de ejecutar una aplicación ASP.NET  con el usuario que nosotros indicamos desde nuestra aplicación web y no dejando que sea el servidor IIS quien asigne siempre el mismo usuario (el definido en el fichero machine.config).

Esto nos garantiza que cada aplicación se ejecuta con los permisos de usuario que realmente le corresponden y evitamos riesgos al dar solo los privilegios necesarios a cada aplicacion.

 

Cadenas de Conexion y Bases de Datos

Ofuscación

Code obfuscation is a technology, which makes .NET application binaries harder to decompile. If you want to protect your .NET application from reverse engineering, you may consider obfuscation. Different aspects of code obfuscation are covered in the following online articles:

Encriptar y Desencriptar Datos

  • How to Encrypt and Decrypt Data Using a Symmetric Key
    Illustrates how to (a) generate a persistent (i.e. non-random) symmetric key and (b) use this key to encrypt and decrypt data. This sample is intended to help novice users get a grasp on encryption and decryption. It uses Rijndael (AES) algorithm, but you can easily adjust it to use Triple-DES or any other symmetric key algorithm supported by .NET.
  • How to Encrypt Data With Salt
    Explains how to use salt when encrypting the same plain text value with the same symmetric (Rijndael) key to generate different cipher text. This approach eliminates the need to use different initialization vectors or keys for the purpose of avoiding dictionary attacks.
  • How to Create an Encryption Library
    This MSDN example can help you build a reusable encryption library for different symmetric key algorithms. It is more robust than the previous example, but may not be as straight forward.
  • How to Store an Encrypted Connection String in the Registry
    This MSDN example can be used to encrypt and store sensitive data in the Windows® registry. It explains how to build a GUI application, which can be used to encrypt data in the registry, and retrieve these data from an ASP.NET application.
  • How to Use DPAPI to Encrypt and Decrypt Data
    Demonstrates how to encrypt and decrypt data using the Data Protection API (DPAPI).

Algoritmos Hashing

  • How to Hash Data with Salt
    Illustrates how to (a) hash a text string with a random salt value using MD5, SHA-1, SHA-256, SHA-384, and SHA-512 hashing algorithms and (b) verify a hash against a plain text value. If you just want to use MD5 or SHA1 hashing algorithm, you can simply call the HashPasswordForStoringInConfigFile method of the FormsAuthentication class, which belongs to the System.Web.Security namespace.
  • How to Use Forms Authentication with SQL Server
    This MSDN example can help you implement authentication mechanism using password hashes stored in a database.

Generador de Contraseñas Aleatorias en C# y VB.Net

  • How to Generate a Random Password
    Shows how to generate a random password, which consists of a combination of 7-bit ASCII alpha-numeric characters and special symbols, but does not contain ambiguous characters (such as [1,I,l]).

Necesitas un Password o Contraseña

Pues eso, si por alguna casualidad algún día no recordais el password asignado en una aplicacion, base de datos, cuenta de usuario, etc y necesitais sacar la contraseña, he encontrado en el foro del hacker.net este post con infinidad de utilidades, aunque esta un poco desfasado nos puede servir para sacarnos de algun apuro.

Aqui os dejo la lista de aplicaciones extraidas del post:

MessenPass v1.10
Recupera passwords perdidos de los siguientes mensajeros instantaneos:

  • MSN Messenger
  • Windows Messenger (In Windows XP)
  • Windows Live Messenger (In Windows XP And Vista)
  • Yahoo Messenger (Versions 5.x, 6.x, 7.x y 8.x)
  • Google Talk
  • ICQ Lite 4.x/5.x/2003
  • AOL Instant Messenger (only older versions, the password in newer versions of AIM cannot be recovered)
  • AOL Instant Messenger/Netscape 7
  • Trillian
  • Miranda
  • GAIM

Mail PassView v1.38
Recupera las contraseñas perdidas de correos tales como:

  • Outlook Express
  • Microsoft Outlook 2000 (POP3 and SMTP Accounts only)
  • Microsoft Outlook 2002/2003/2007 (POP3, IMAP, HTTP and SMTP Accounts)
  • Windows Mail
  • IncrediMail
  • Eudora
  • Netscape 6.x/7.x
  • Mozilla Thunderbird
  • Group Mail Free
  • Yahoo! Mail – If the password is saved in Yahoo! Messenger application.
  • Hotmail/MSN mail – If the password is saved in MSN Messenger application.
  • Gmail – If the password is saved by Gmail Notifier application, Google Desktop, or by Google Talk.

Protected Storage PassView v1.63
revela las contraseñas almacenadas en tu computadora por:

  • Outlook
  • AutoComplete passwords in Internet Explorer
  • Password-protected sites in Internet Explorer
  • MSN Explorer Passwords

Dialupass v2.43
Recupera el nombre de usuario mas la contraseña de las conexiones atraves de la linea telefonica tales como las conexiones de:

  • Terra 64Kb
  • Telefonica speedy 2 Mb
  • Telefonica speedy 1 Mb
  • Telefonica speedy 128Kb
  • Telmex 1 Mb
  • Etc etc etc…
  • Tipo Dialup/RAS/VPN

Asterisk Logger v1.02
Revela las contraseñas detrás de los asteriscos (***)

SniffPass v1.01
utilidad que escucha tu red, captura las contraseñas que pasan a través de tu adaptador de la red, y las exhibe en la pantalla inmediatamente. SniffPass puede capturar las contraseñas de los protocolos siguientes (Puedes utilizar esta utilidad para recuperar contraseñas perdidas de Web/FTP/Email (contraseñas básicas de la autentificación)):

  • POP3
  • IMAP4
  • smtp
  • ftp
  • HTTP

Network Password Recovery v1.10
Cuando conectas con una parte de la red en tu LAN o con tu cuenta de Passport .NET, Windows permite que ahorres tu contraseña para utilizarla adentro cada vez que conectas el servidor alejado. Esta utilidad recupera todas las contraseñas de la red almacenadas en tu sistema para usuarios ya logueados. contraseñas que esta utilidad puede recuperar:

  • Login passwords of remote computers on your LAN.
  • Passwords of mail accounts on exchange server (stored by Outlook 2003)
  • Password of MSN Messenger / Windows Messenger accounts
  • Internet Explorer 7: passwords of password-protected Web sites (“Basic Authentication” or “Digest Access Authentication”)
  • The item name of IE7 passwords always begin with “Microsoft_WinInet” prefix.

ProduKey v1.06
Recupera los seriales perdidos de los siguientes productos instalados (CD-Key):

  • MS-Office
  • Microsoft Windows
  • Exchange Server
  • SQL Server

WirelessKeyView v1.10
Recupera todas las contraseñas de la (WEP/WPA) almacenadas en tu computadora por el servicio “Wireless Zero Configuration” y “WLAN AutoConfig” de Windows Vista.

IE PassView v1.04
Recupera las contraseñas guardadas por:

  • Internet Explorer 4.0
  • Internet Explorer 6.0
  • Internet Explorer 7.0

LSASecretsView v1.10
Recupera las contraseñas guardadas en HKEY_LOCAL_MACHINE\Security\Policy\Secrets. Probado en Windows XP y Windows Vista 32 y 64 bits (entre otras cosas te revela la contraseña de usuario por defecto con el que inicias seción).

PasswordNow
Recupera las contraseñas de documentos protegidos como:

  • Microsoft Word
  • Microsoft Excel
  • Microsoft Outlook
  • Microsoft MS Access

Password Recovery Tools
Recupera las contraseñas de:

  • Access
  • Act!
  • Excel
  • Outlook
  • Word
  • Backup
  • MS Money
  • Lotus Organizer
  • MS Project
  • Schedule+
  • VBA modules (any applications)
  • Power Point
  • PDF
  • Quicken
  • QuickBooks
  • OneNote
  • zip/WinZip/pkzip

SQL Password
Recupera la contraseña de los siguientes tipos de Servidores SQL:

  • MS SQL Server 2000
  • MS SQL Server 2005
  • MS SQL Server 2005
  • MS SQL Server Express
  • MS SQL Server MSDE 2000 (Microsoft SQL Server Desktop Engine).

SHA-1 Password
Herramienta de la recuperación de la contraseña para los profesionales de la seguridad, que pueden ser utilizados para recuperar una contraseña si se sabe su hash SHA-1.

MD5 Password
Herramienta de la recuperación de la contraseña para los profesionales de la seguridad, que pueden ser utilizados para recuperar una contraseña si se sabe su hash MD5.

stPassword v1.00
Recupera la contraseña perdida del archivo de Outlook .PST (las carpetas personales). No tienes que instalar Ms-Outlook para utilizar esta utilidad. Necesitas solamente el archivo original de PST. Esta utilidad puede recuperar las contraseñas de PST:

  • Outlook 97
  • Outlook 2000
  • Outlook XP
  • Outlook 2003

AsterWin IE v1.03
Muestra las contraseñas ocultas tras los asteriscos de las paginas webs. Funciona desde Internet Explorer 5 en adelante. Codigo fuente en Visual Basic para su ejecución y estudio.

Remote Desktop PassView v1.00
Recupera la contraseña guardada por “Microsoft Remote Desktop” utilizada para la administración remota

PCAnywhere PassView v1.11
Recupera la contraseña guardada por pcANYWHERE en los siguientes tipos de archivos:

  • Caller Files  .cif
  • Remote Control Files  .chf
  • Be A Host Files  .bhf
  • Gateway Files  .gwf
  • Online Service Files  .osf

Access PassView 1.12
Recupera la contraseña que protege archivos .mdb creados por:

  • Microsoft Access 95
  • Microsoft Access 97
  • Microsoft Access 2000
  • Microsoft Access XP
  • Jet Database Engine 3.0
  • Jet Database Engine 4.0

Win9x PassView v1.1
Programa que revela los passwords guardados en Windows 95 y 98 tales como:

  • The user name and the password of the current logged-on user.
  • The cached passwords of the current logged-on user.
  • The passwords of your network shares (Only with share-level access control).
  • The password of the screen saber.

Enterprise Manager PassView v1.00
Recupera la contraseña de servidores SQL:

  • SQL Server 7.0
  • SQL Server 2000

AspNetUserPass v1.00
Revela la contraseña del usuario “AspNet”

Netscapass v2.03
Recupera contraseñas guardadas por Netscape tales como la contraseña de servidores POP3. Versiones soportadas:

  • Netscape Communicator 4.x
  • Netscape 6.x
  • Netscape 7.x

iOpus Password Recovery XP
Recupera las contraseñas guardadas en Windows XP

Advanced RAR Password Recovery
Recupera tus contraseñas de archivos *.rar

Advanced PDF Password Recovery
Los decrypts protegieron archivos del pdf del acróbata del adobe.

Advanced Office XP Password Recovery Pro
Recupera la contraseña que protege a tus documentos creados en Microsoft Office XP

Advanced PDF Password Recovery Pro
Otro programa para recuperar la contraseña que protege a tu documento PDF.

Passware Password Recovery Kit
Pack muy completo para recuperar infinidad de contraseñas desde mensajeros hasta documentos word, pdf, etc etc

Post Nº52485
Recupera tu contraseña de cualquier correo Hotmail y mensajeros MSN

Advanced ZIP Password Recovery
Recuperación de contraseñas perdidas del CIERRE RELÁMPAGO.

  • PKZip
  • WinZip

FileMaker Password Recovery
Recupera las contraseñas perdidas u olvidadas para las bases de datos de FileMaker.

Google Talk Password Recovery
Recupera tus contraseñas de Google Talk.

WinHKI
Programa que funciona como compresor y descompresor, ademas de funcionar como Crackeador y desenriptador para archivos:

  • HKI1
  • HKI2
  • HKI3
  • BH
  • CAB
  • GZip
  • LHA
  • JAR
  • TAR
  • ZIP
  • BZ2
  • RAR
  • ACE

BIOS Password Remover
Recupera tu bios AWARD removiendo la contraseña. Solo para Windows Win9x/ME.
Por sistemas de seguridad en la web del autor… solo es posible bajar el programa copiando el link y pegandolo en el explorador.
http://www.infogreg.com/crapware/junkcode/files/bios_pass_remover.zip

Cain & Abel
Cain y Abel es una herramienta de la recuperación de la contraseña para los sistemas operativos de Microsoft. Permite la recuperación fácil de la varia clase de contraseñas sniffeando la red, crackeando contraseñas cifradas usando los ataques del diccionario, de la fuerza bruta y del criptoanálisis, conversaciones de registración de VoIP, contraseñas revueltas el descifrar, recuperando las llaves sin hilos de la red, cajas de la contraseña que revelan, destapando contraseñas depositadas y analizando protocolos de la encaminamiento. El programa no explota ningunas vulnerabilidades o bugs del software que no se podrían fijar con poco esfuerzo.

  • Remote Console
  • Remote LSA Secrets Dumper
  • Remote NT Hashes Dumper
  • Remote Route Table Manager
  • Remote TCP/UDP Table Viewer
  • Cisco Config Downloader/Uploader
  • MAC Scanner
  • Network Enumerator
  • Password Crackers
  • Brute-Force Password Cracker
  • Dictionary Password Cracker
  • Cryptanalysis
  • Rainbowcrack-online
  • WEP Cracker
  • Password Decoders
  • Password Dumpers
  • Password/Hash Calculators
  • Promiscuous-mode Scanner
  • Route Table Manager
  • Service Manager
  • SID Scanner
  • Sniffer
  • TCP/UDP Table Viewer
  • Traceroute
  • Wireless Scanner

Recupera la contraseña del administrador de Windows.

Contraseñas por defecto en las BIOS ROUTERS y WPA de FON

Claves WEP de wifis de R (la compañía de cable de Galicia)

Ophcrack
Aplicación que permite obtener las contraseñas de tu sistema Windows basado en el Ophcrack 1.0, disponible tanto para Windows como para Linux graciasa  las libretrías GTK.
En otras palabras Ophcrack es un Crackeador de Passwords en Windows basada en time-memory trade-off usando  raibon tables, una nueva variante de la compensación original de Hellman, recupera 99.9% de contraseñas alfanuméricas en segundos.
Entre otras cosas es capaz de crackear la contraseña del administrador en Windows Vista.

Sam Inside
El programa de SAMInside se señala para recuperar las contraseñas de los usuarios de Windows NT /2000/XP/2003 y tiene algunas características excepcionales: El programa tiene tamaño pequeño, no requiere la instalación y se puede funcionar del diskette, CD/DVD-disk o USB-conduce. Incluye sobre 10 tipos de importación de los datos y 6 tipos de ataque de las contraseñas:

  • Brute-force attack
  • Distributed attack
  • Mask attack
  • Dictionary attack
  • Hybrid attack
  • Pre-calculated tables attack

Forzando código del programa se escribe totalmente en el ensamblador qué deja para conseguir extremadamente la velocidad de la contraseña que fuerza procedimiento en cualquier procesador. El programa extrae correctamente los nombres y las contraseñas de los usuarios de Windows NT /2000/XP/2003 en la codificación del símbolo nacional. ¡El programa es la primera utilidad en el mundo que comenzó a trabajar con las contraseñas cifradas por la llave SYSKEY del sistema!
+Info: http://www.insidepro.com/eng/saminside.shtml

Fuente: http://foro.elhacker.net/hacking_basico/necesitas_una_contrasena-t164061.0.html

Nota: Todos los softwares mostrados en esta pagina son totalmente legales y de uso personal únicamente.