IIS6 Wildcard Mapping Sicherheitsbedenken?
https://stackoverflow.com/questions/1178467
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Wir suchen erweiterungs URL zum ersten Mal in unserer Organisation zu nutzen. Wir haben unsere Systemadministratoren eine Wildcard Mapping IIS6 hinzufügen angefordert, so dass alle Anforderungen, die durch die asp.net verarbeitet bekommen. Sie drängen zurück, unter Berufung auf Sicherheitsbedenken. Ich habe nicht genug Informationen über mögliche Sicherheitsprobleme mit dem Wildcard-Mapping zu wissen, was Sicherheitsfragen es kann oder auch nicht erstellen. Jedes Feedback würde geschätzt.
Lösung
Im Grunde genommen durch das Hinzufügen Wildcard-Mapping auf IIS6 dann werden alle Anfragen durch das .net Framework verarbeitet werden. Ich bin nicht sicher über Sicherheitsbedenken aber weiß, dass der Performance-Nachteil hat nie provern worden
sieheAndere Tipps
Big Frage, wie ich vermute, dass die meisten Admin-Typen, die Angst, die sie nicht verstehen. Sie grok IIS, sondern die gesamte ASP.NET-Pipeline ist fremd. Holen sie ihre Anliegen zu dokumentieren, dann können Sie sie abzuschießen one-by-one.
Es ist eine ziemlich legitime Leistung Sorge mit Wildcard-Mapping, aber das kann leicht durch Drücken der nicht gesicherten statischen Dateien auf einen anderen virtuellen Website (oder sogar ein separat zugeordneten virtuellen Verzeichnis auf der Site sans Mappings) gelöst werden.
Nur Sicherheitsbedenken von einer erhöhten Angriffsfläche sein würden, einen Angreifer nun das .NET Framework angreifen könnte und nicht nur IIS. Aber das ist das gleiche Risiko Sie hören Anwendungen auf dem Server nehmen zu installieren.
Das Mißverständnis Ich gehe davon aus, dass sie denken, dass diese Bindung etwas wie .NET ausführen machen wird, ist es nicht. Es macht einfach .NET die Lieferung von damit umgehen. Nur wenn es über Httpmodule Einstellungen in der web.config ausgeführt werden konfiguriert ist, wird es tatsächlich den Code in beliebigen Dateien andere als die Standardbindungen laufen (das sind die, die es hakt, bevor Sie in den Platzhalter setzen sowieso).
Die Leistung ist eine vernünftige Frage zu erheben, aber ich glaube nicht, die Auswirkungen auf die Sicherheit eine große Sache sind.
Das potenzielle Problem ist, werde Sie jetzt Anträge auf Erweiterungen werden, so dass wie .exe auf dem Server ausgeführt werden, und nicht von IIS herausgefiltert, bevor Anfragen zum Preis ISAPI geben.
Wenn Sie eine .exe haben, Schläger oder andere ausführbare Dateien überall in einem IIS-Pfad würde jeder Benutzer in der Lage sein, sie auszuführen.
Wenn Sie bei der Einrichtung von IIS-Websites aufpasst und virtuelle Verzeichnisse, so dass sie nicht enthalten alles, was in böswilliger Absicht verwendet werden könnte, dann sollten Sie in Ordnung sein.
