¿Preocupaciones por la seguridad del mapeo con comodines de IIS6?
https://stackoverflow.com/questions/1178467
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Buscamos utilizar URL sin extensión por primera vez en nuestra organización.Hemos solicitado a nuestros administradores de sistemas que agreguen una asignación de comodines a IIS6 para que todas las solicitudes se procesen a través de asp.net.Ellos están respondiendo, citando preocupaciones de seguridad.No tengo suficiente información sobre posibles problemas de seguridad con la asignación de comodines para saber qué problemas de seguridad puede crear o no.Cualquier comentario sería apreciado.
Solución
Básicamente, al agregar un mapeo de comodines a IIS6, TODAS las solicitudes se procesarán a través del marco .net.No estoy seguro de los problemas de seguridad, pero sé que la desventaja de rendimiento nunca se ha demostrado.
ver Texto del enlace
Otros consejos
Gran problema, sospecho, es que la mayoría de los tipos de administración, que temen que ellos no entienden. Ellos asimilen IIS, pero toda la canalización de ASP.NET es extranjera. Conseguirlos para documentar sus preocupaciones, entonces puede derribarlos uno por uno.
Hay una preocupación rendimiento bastante legítima con la asignación de comodín, pero que puede ser fácilmente resuelto empujando los archivos no seguros estáticos a otro sitio virtual (o incluso un directorio virtual asignado por separado dentro de las asignaciones de sitio sans).
Sólo es posible problema de seguridad sería de una superficie de ataque aumentado, causar un atacante ahora podría atacar el marco .NET y no sólo IIS. Pero eso es el mismo riesgo que usted toma instalar las aplicaciones de escucha en su servidor.
El malentendido que supongo que es que ellos piensan que esta unión hará nada correr como .NET, no. Que sólo tiene .NET manejan la entrega de la misma. Sólo si está configurado para ser ejecutado a través de HttpModule ajustes en el web.config que en realidad se ejecute el código en archivos distintos de los enlaces por omisión (que son los que se conecta antes de poner en el comodín de todos modos).
El rendimiento es una cuestión razonable para levantar, pero no creo que las implicaciones de seguridad son un gran problema.
El problema potencial es que ahora estaría permitiendo que las solicitudes de extensiones como .exe para ejecutar en el servidor, y no filtró IIS antes de entregar las solicitudes fuera a la ISAPI.
Si tiene cualquier .exe, el palo, u otros archivos ejecutables en cualquier lugar de una ruta de IIS, cualquier usuario sería capaz de ejecutarlos.
Si usted tiene cuidado en la creación de sitios web IIS y directorios virtuales para que no contienen nada que pueda ser utilizado maliciosamente, entonces debería estar bien.
