1. дома
  2. Вопрос и ответ
  3. Проблемы с безопасностью карточек IIS6?

Проблемы с безопасностью карточек IIS6?

2009-07-24 2 views
3

Мы стремимся использовать URL без продолжения в первый раз в нашей организации. Мы попросили наших администраторов sys добавить сопоставление подстановочных знаков в IIS6, чтобы все запросы обрабатывались через asp.net. Они отталкиваются назад, ссылаясь на проблемы безопасности. У меня недостаточно информации о потенциальных проблемах безопасности с подстановочным сопоставлением, чтобы узнать, какие проблемы безопасности он может или не может создать. Любая обратная связь будет оценена.Проблемы с безопасностью карточек IIS6?

источник

2009-07-24 Striker

ответ

2

В основном, добавив сопоставление подстановок в IIS6, тогда ВСЕ запросы будут обработаны через .net-структуру. Я не уверен, что проблемы безопасности, но известно, что недостаток производительности никогда не provern

см link text

источник

2009-07-24 15:42:38

+1

Я бы попросил их документально зафиксировать их проблемы безопасности. –

+0

Я тоже спросил бы их! – 2009-07-24 15:50:44

-3

Потенциальная проблема вы теперь позволяет просьбы о продлении таких как EXE-файл будет выполняться на сервере, и не отфильтровывается IIS перед передачей запросов в ISAPI.

Если у вас есть .exe, bat или другие исполняемые файлы в любом месте пути IIS, любой пользователь сможет их выполнить.

Если вы тщательно настраиваете веб-сайты IIS и виртуальные каталоги, чтобы они не содержали ничего, что можно было бы использовать злонамеренно, тогда вы должны быть в порядке.

источник

2009-07-24 15:49:04 AaronS

+1

Насколько мне известно, это неправильно. Добавление обработчика подстановочных знаков не повлияет на обработку файла exe или bat. Более конкретно, если это специально не настроено таким образом, запрос должен быть отфильтрован веб-приложением как ресурс, не найденный или обработан обработчиком по умолчанию, который просто вернул бы файл. (Я тестировал это локально и не смог воспроизвести описанное вами поведение) – CoderTao

+0

Как насчет файла web.config? Будет ли IIS возвращать этот файл, если кто-то запросит его? – Striker

+0

У ASP.net есть собственный набор гарантий вокруг этого. Тем не менее, вы по-прежнему вынимаете первую линию защиты, не позволяя им достичь ISAPI в первую очередь. – AaronS

1

Большая проблема, я подозреваю, заключается в том, что большинство типов администраторов боятся того, чего они не понимают. Они grok IIS, но весь конвейер ASP.NET является чужим. Попросите их задокументировать свои проблемы, тогда вы можете их сбивать один за другим.

Существует довольно законная проблема производительности с подстановочным сопоставлением, но это легко решить, нажимая незащищенные статические файлы на другой виртуальный сайт (или даже отдельно отображаемый виртуальный каталог в пределах сайта без сопоставлений).

источник

2009-07-24 16:51:35

-1

Только возможная проблема безопасности будет связана с повышенной поверхностью атаки, из-за которой злоумышленник может атаковать платформу .NET, а не только IIS. Но это тот же риск, который вы принимаете для установки любых прослушивающих приложений на вашем сервере.

Недоразумение Я предполагаю, что они считают, что это привязка сделает что-то запустимым как .NET, а это не так. Это просто делает .NET обрабатывать доставку. Только если он настроен на выполнение с помощью параметров HttpModule в файле web.config, он фактически запустит код в любых файлах, отличных от привязок по умолчанию (которые они перехватывают, прежде чем вы ставите шаблон подстановки).

Эффективность - разумная проблема для повышения, но я не думаю, что последствия для безопасности - это большое дело.

источник

2009-11-25 12:43:54 fyjham

+0

Скорее всего, это уже уязвимая поверхность рамки на машине с IIS, даже 2k3/IIS6. – andrewbadera

+0

Да, но я говорю, что если существует эксплойт, который влияет на доставку некодовых файлов .NET, это потенциально опасно для безопасности, и, следовательно, поверхность атаки увеличивается. Я не знаю таких недостатков, и, возможно, реальные шансы на то, что это проблема, минимальны (поэтому я говорю, что это не проблема, о которой я бы серьезно относился), но это лучший аргумент, который я мог бы сделать, поскольку это был недостаток безопасности, поэтому я попытался чтобы дать сбалансированную перспективу, указав потенциальную причину беспокойства, а затем заявив, почему я не думал, что это когда-нибудь будет реалистично. – fyjham

Смежные вопросы

 Смежные вопросы