Le preoccupazioni IIS6 jolly mapping di protezione?
https://stackoverflow.com/questions/1178467
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Stiamo cercando di utilizzare senza estensione URL per la prima volta nella nostra organizzazione. Abbiamo chiesto ai nostri amministratori di sistema aggiungere un mapping jolly per IIS6 modo tutte le richieste vengono elaborate attraverso l'asp.net. Essi stanno spingendo indietro, citando preoccupazioni per la sicurezza. Non ho abbastanza informazioni su potenziali problemi di sicurezza con la mappatura jolly per sapere quali problemi di sicurezza che può o non può creare. Ogni feedback apprezzato.
Soluzione
In sostanza con l'aggiunta di mapping jolly per IIS6 allora tutte le richieste saranno trattati attraverso il framework .net. Io non sono sicuro di problemi di sicurezza, ma so che lo svantaggio delle prestazioni non è mai stata provern
Altri suggerimenti
Big Issue, ho il sospetto, è che la maggior parte dei tipi di amministrazione temono ciò che non capiscono. Essi Grok IIS, ma l'intera pipeline di ASP.NET è estraneo. Farli per documentare le loro preoccupazioni, allora si possono abbattere uno ad uno.
C'è una preoccupazione prestazioni abbastanza legittima con la mappatura jolly, ma che può essere facilmente risolto spingendo i file non-protetti statici a un altro sito virtuale (o anche una directory virtuale mappata separatamente all'interno delle mappature del sito sans).
Solo possibile problema di sicurezza sarebbe da una maggiore superficie di attacco, causare un utente malintenzionato potrebbe ora attaccare il framework .NET e non solo IIS. Ma è lo stesso rischio che si corre l'installazione di tutte le applicazioni di ascolto sul vostro server.
L'equivoco presumo è che pensano questo legame farà nulla funzionare come .NET, non. Rende solo .NET gestire la consegna di esso. Solo se è configurato per essere eseguito tramite HttpModule impostazioni nel web.config sarà effettivamente eseguire il codice in qualsiasi file diversi i binding di default (che sono quelli che aggancia prima di mettere nel jolly in ogni caso).
Performance è una questione ragionevole per raccogliere, ma non credo che le implicazioni di sicurezza sono un grosso problema.
Il potenziale problema è che si sarebbe ora permettendo richieste di estensioni come .exe da eseguire sul server, e non filtrati dal IIS prima di consegnare le richieste fuori al ISAPI.
Se avete qualche exe, bat, o altri file eseguibili in qualsiasi parte di un percorso di IIS, qualsiasi utente sarebbe in grado di eseguirli.
Se siete attenti nella creazione di siti web IIS e directory virtuali in modo che non contengono nulla che potrebbe essere utilizzato con cattiveria, allora si dovrebbe essere OK.
