Мы стремимся использовать URL без продолжения в первый раз в нашей организации. Мы попросили наших администраторов sys добавить сопоставление подстановочных знаков в IIS6, чтобы все запросы обрабатывались через asp.net. Они отталкиваются назад, ссылаясь на проблемы безопасности. У меня недостаточно информации о потенциальных проблемах безопасности с подстановочным сопоставлением, чтобы узнать, какие проблемы безопасности он может или не может создать. Любая обратная связь будет оценена.Проблемы с безопасностью карточек IIS6?
ответ
В основном, добавив сопоставление подстановок в IIS6, тогда ВСЕ запросы будут обработаны через .net-структуру. Я не уверен, что проблемы безопасности, но известно, что недостаток производительности никогда не provern
см link text
Потенциальная проблема вы теперь позволяет просьбы о продлении таких как EXE-файл будет выполняться на сервере, и не отфильтровывается IIS перед передачей запросов в ISAPI.
Если у вас есть .exe, bat или другие исполняемые файлы в любом месте пути IIS, любой пользователь сможет их выполнить.
Если вы тщательно настраиваете веб-сайты IIS и виртуальные каталоги, чтобы они не содержали ничего, что можно было бы использовать злонамеренно, тогда вы должны быть в порядке.
Насколько мне известно, это неправильно. Добавление обработчика подстановочных знаков не повлияет на обработку файла exe или bat. Более конкретно, если это специально не настроено таким образом, запрос должен быть отфильтрован веб-приложением как ресурс, не найденный или обработан обработчиком по умолчанию, который просто вернул бы файл. (Я тестировал это локально и не смог воспроизвести описанное вами поведение) – CoderTao
Как насчет файла web.config? Будет ли IIS возвращать этот файл, если кто-то запросит его? – Striker
У ASP.net есть собственный набор гарантий вокруг этого. Тем не менее, вы по-прежнему вынимаете первую линию защиты, не позволяя им достичь ISAPI в первую очередь. – AaronS
Большая проблема, я подозреваю, заключается в том, что большинство типов администраторов боятся того, чего они не понимают. Они grok IIS, но весь конвейер ASP.NET является чужим. Попросите их задокументировать свои проблемы, тогда вы можете их сбивать один за другим.
Существует довольно законная проблема производительности с подстановочным сопоставлением, но это легко решить, нажимая незащищенные статические файлы на другой виртуальный сайт (или даже отдельно отображаемый виртуальный каталог в пределах сайта без сопоставлений).
Только возможная проблема безопасности будет связана с повышенной поверхностью атаки, из-за которой злоумышленник может атаковать платформу .NET, а не только IIS. Но это тот же риск, который вы принимаете для установки любых прослушивающих приложений на вашем сервере.
Недоразумение Я предполагаю, что они считают, что это привязка сделает что-то запустимым как .NET, а это не так. Это просто делает .NET обрабатывать доставку. Только если он настроен на выполнение с помощью параметров HttpModule в файле web.config, он фактически запустит код в любых файлах, отличных от привязок по умолчанию (которые они перехватывают, прежде чем вы ставите шаблон подстановки).
Эффективность - разумная проблема для повышения, но я не думаю, что последствия для безопасности - это большое дело.
Скорее всего, это уже уязвимая поверхность рамки на машине с IIS, даже 2k3/IIS6. – andrewbadera
Да, но я говорю, что если существует эксплойт, который влияет на доставку некодовых файлов .NET, это потенциально опасно для безопасности, и, следовательно, поверхность атаки увеличивается. Я не знаю таких недостатков, и, возможно, реальные шансы на то, что это проблема, минимальны (поэтому я говорю, что это не проблема, о которой я бы серьезно относился), но это лучший аргумент, который я мог бы сделать, поскольку это был недостаток безопасности, поэтому я попытался чтобы дать сбалансированную перспективу, указав потенциальную причину беспокойства, а затем заявив, почему я не думал, что это когда-нибудь будет реалистично. – fyjham
- 1. Elasticsearch: проблемы с безопасностью
- 2. Проблемы с безопасностью паролей
- 3. Проблемы с безопасностью Xampp
- 4. XPCOM Проблемы с безопасностью
- 5. Проблемы с безопасностью Android
- 6. Проблемы с безопасностью, использующие robots.txt
- 7. Проблемы с безопасностью на iPhone
- 8. проблемы с безопасностью Java-приложений
- 9. Проблемы с безопасностью на viewstate
- 10. Django-form: проблемы с безопасностью
- 11. crossdomain.xml и проблемы с безопасностью
- 12. Проблемы с использованием WIF с IIS6
- 13. Проблемы с IIS6 с ASP.NET MVC
- 14. Проблемы с безопасностью с применением Silverlight 3
- 15. Проблемы с безопасностью с помощью PHP Sandbox
- 16. Проблемы с безопасностью с использованием HTTP_REFERRER
- 17. Проблемы с безопасностью в настольном приложении
- 18. Проблемы с безопасностью входа/выхода в Spring
- 19. Предоставление Facebook другу user_ids проблемы с безопасностью?
- 20. Проблемы с веб-безопасностью для смешанного контента
- 21. Проблемы с безопасностью приложений для php/mysql?
- 22. LDAP on ec2 - проблемы с безопасностью
- 23. php загружает проблемы с файловой безопасностью?
- 24. Проблемы с безопасностью при отображении внешних изображений
- 25. Сброс пароля ASP.NET - проблемы с безопасностью?
- 26. Проблемы с безопасностью на Ubuntu OpenERP
- 27. Проблемы с безопасностью службы WCF в DMZ
- 28. Угловые 2/Проблемы с безопасностью CSRF безопасности
- 29. Каковы проблемы с безопасностью использования User.current_user
- 30. JWT хранится в cookie - проблемы с безопасностью
Я бы попросил их документально зафиксировать их проблемы безопасности. –
Я тоже спросил бы их! – 2009-07-24 15:50:44