Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Antes de comenzar me gustaría compartir algunos datos que desde Guayoyo Labs
hemos venido estudiando, con respecto a los servidores web más utilizados
actualmente. Realizando una simple búsqueda en Shodan podemos obtener un
aproximado de los servidores web IIS, APACHE y NGINX que actualmente se
encuentran expuestos y que al igual que nosotros, cualquier posible atacante tiene
acceso a esta información.
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 1/10
9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS
Para configurar las cabeceras HTTP en los servidores de Windows, debemos cumplir
estos tres pasos:
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 2/10
9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 3/10
9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS
X-Frame-Options
El encabezado X-Frame-Options ( RFC ) protege a los visitantes contra ataques de
clickjacking. Un atacante puede cargar un iFrame en su sitio y establecer su sitio web
como la fuente. Es bastante fácil, por ejemplo: <iframe src="https://tudominio.com">
</iframe> .
•DENY: Esta configuración es la más restrictiva e impide que la página del sitio se
incluya en un iFrame. Esta opción es óptima si no tiene usuarios válidos para un
iFrame.
• SAMEORIGIN: Si una página padre es para el mismo dominio que la página del sitio,
la página del sitio puede incluirse en el iFrame.
• ALLOW-FROM: Puede especificar un URI única permitida para enmarcar la página
del sitio.
X-Xss-Protection
Este encabezado se usa para configurar la protección contra un XSS reflejado. Las
configuraciones válidas para el encabezado son:
0 desactiva la protección
1 habilita la protección
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 4/10
9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS
X-Content-Type-Options
Esta cabecera sólo tiene un valor válido, nosniff . Impide que Google Chrome e
de URL.
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 6/10
9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 7/10
9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 8/10
9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 9/10
9/10/2019 Asegurando las cabeceras de respuestas HTTP en servidores web IIS
Como vemos para IIS se realizaron muchos más pasos, pero igual se logró eliminar esa
información que sería útil para un atacante. Con esto estaríamos agregando una capa
de seguridad a nuestro servidor web, y por ende mejoraríamos la postura de seguridad
de los sistemas que se ejecuten en ese servidor web.
Artículo relacionado:
https://medium.com/guayoyo/asegurando-las-cabeceras-de-respuestas-http-en-servidores-web-iis-e19b224af6fa 10/10