IIS6通配符映射安全问题?
-
19-09-2019 - |
题
我们正在寻找利用扩展名的URL对我们组织的第一次。我们要求我们的系统管理者添加通配符映射到IIS6所以所有的请求获得通过asp.net处理。他们推回,理由是安全问题。我没有关于用通配符映射潜在的安全问题足够的信息来了解安全问题,它可能会或可能不会产生。对于任何反馈,我们都表示感谢。
解决方案
基本上通过将通配符映射到IIS6然后所有请求都将通过.NET Framework进行处理。我不知道有关的安全问题,但知道性能劣势从未provern
见链接文本
其他提示
大的问题,我怀疑,是大多数管理员类型担心,他们不明白。他们神交IIS,但整个ASP.NET管道是国外的。让他们记录了他们的关注,那么你可以一个接一个拍下来。
有与通配符映射相当合法性能问题,但可以很容易地由非固定静态文件推到另一个虚拟站点(或甚至站点SAN映射内的单独映射的虚拟目录)来解决。
唯一可能的安全问题是从增加的攻击面,导致攻击者现在可以攻击的.NET框架,不只是IIS。但是,这是你把你的服务器上安装任何监听应用程序相同的风险。
我假设的误解是,他们认为这将结合做什么身份运行.NET,它没有。它只是让.NET处理它的交付。只有当它的配置为通过HTTP模块来执行在web.config设置将它实际运行在默认绑定以外的任何文件中的代码(这是你把之前的通配符反正它挂钩起来的)。
性能是一个合理的发行募集,但我不认为对安全的影响是一个大问题。
在潜在的问题是,你现在将被允许延期请求如.exe到服务器上执行,并通过IIS交给请求关闭的ISAPI之前没有被过滤掉。
如果您有任何.exe文件,蝙蝠,或在IIS路径的任何地方其他可执行文件,任何用户都将能够执行它们。
如果你在设置IIS网站和虚拟目录,以便它们不包含任何可能被恶意使用谨慎,那么你就应该OK。