Introducción
El presente manual describe la forma de cómo configurar correctamente el archivo web.config dentro de la carpeta I&DPortal.
Objetivo
El objetivo del manual es dar a conocer la correcta configuración del archivo web.config, el cual contiene información que conllevan las configuraciones de vulnerabilidades, siguiendo los pasos mostrados a continuación.
Nota: El manual estará constantemente actualizándose.
Ubicación del archivo web.config
A continuación, mostraremos los pasos para poder identificar nuestro archivo “Web.config”
Para acceder al archivo y poder realizar la configuración, accederemos a la carpeta de nuestra aplicación.
Damos clic izquierdo y nos mostrara los siguientes archivos ubicaremos el archivo con el nombre “web.config”.
Daremos clic izquierdo y seleccionaremos la opción de “Editar”
Compilation
Buscaremos la etiqueta de “Compilation” y Cambiaremos el valor “false”
Machinkey
Otra configuración que debe realizarse para disminuir las vulnerabilidades, en este caso sobre la encriptación de la página del visor es necesario realizar los siguiente:
Localizar el tag “MachineKey” en el Web.Config del IDPortal y colocarlo de la siguiente manera:
<machineKey compatibilityMode="Framework45" />Session cookie
Para la sección de “Missing Secure Attribute in Encrypted Session (SSL) Cookie” se resuelve con las siguientes modificaciones en el archivo Web.Config del IDPortal, es importante resaltar que el portal debe estar en https.
<directoryBrowse enabled="false" />
<rewrite>
<outboundRules>
<rule name="Use only secure cookies" preCondition="Unsecured cookie">
<match serverVariable="RESPONSE_SET_COOKIE" pattern=".*" negate="false" />
<action type="Rewrite" value="{R:0}; secure" />
</rule>
<preConditions>
<preCondition name="Unsecured cookie">
<add input="{RESPONSE_SET_COOKIE}" pattern="." />
<add input="{RESPONSE_SET_COOKIE}" pattern="; secure" negate="true" />
</preCondition>
</preConditions>
</outboundRules>
</rewrite>
Runtime
Como siguiente punto buscaremos la opción “httpRuntime” esto para evitar la divulgación de la versión ASP.NET
<httpRuntime enableVersionHeader="false" />
Para corroborar esto podremos validarlo dando clic a la tecla fn+f12 nos mostrara la siguiente ventana y nos posicionaremos en la opción de red dentro nos mostrara los Headers.
Requestfiltering
Para evitar que en el navegador muestre información del servidor donde, se encuentra nuestro sitio, debemos validar la siguiente línea que se encuentra en el web.config la cual se deberá mostrar de la siguiente manera:
<requestFiltering allowDoubleEscaping="true">
<requestLimits maxUrl="100004096"/>
<verbs allowUnlisted="true">
<add verb="OPTIONS" allowed="false"/>
</verbs>
</requestFiltering>