IIS6ワイルドカードマッピングセキュリティ懸念?

StackOverflow https://stackoverflow.com/questions/1178467

質問

私たちは、私たちの組織で初めて拡張子のURLのを利用しようとしています。私たちは、のシステム管理者は、すべての要求がasp.netを介して処理されますので、IIS6にワイルドカードマッピングを追加要求してきました。彼らは、セキュリティ上の問題を理由に、戻って推進しています。私はそれがまたは作成しない場合がありますどのようなセキュリティ上の問題を知るために、ワイルドカードマッピングの潜在的なセキュリティ問題に関する十分な情報を持っていません。すべてのフィードバックをいただければ幸いです。

役に立ちましたか?

解決

基本的IIS6にワイルドカードマッピングを追加することによって、すべての要求は、.NETフレームワークを介して処理されます。私は、セキュリティ上の問題についてはよく分からないですが、性能の欠点はprovernされていないことを知っています。

タグのリンクテキストを参照してください

他のヒント

ビッグの問題は、私は疑う、ほとんどの管理者のタイプは、彼らが理解しないことを恐れていることです。彼らは、IISを完全に理解が、全体ASP.NETパイプラインは外国人です。その後、彼らの懸念を文書化するためにそれらを取得しますが、1つずつを撃墜することができます。

があり、ワイルドカードマッピングとかなり正当なパフォーマンスの懸念があるが、それは簡単に別の仮想サイト(あるいはサイトのsansのマッピング内で個別にマップされた仮想ディレクトリ)に非セキュア静的ファイルをプッシュすることによって解決することができます。

唯一可能なセキュリティ上の問題は、攻撃者が今ちょうどIISの.NETフレームワークを攻撃しませんでした原因と、増加した攻撃面からだろう。しかし、それはあなたのサーバー上の任意のリスニングアプリケーションをインストール取ると同じ危険です。

私は仮定誤解は、それは、彼らがこの結合は、.NETとして実行何かを作るだろうと思うことはありませんです。それはちょうど.NETはそれの配信を扱うことができます。それはHttpModuleを介して実行されるように構成された唯一の場合はweb.configファイル内の設定は、それは実際に(あなたがとにかくワイルドカードに入れる前に、それがフックしたものです)デフォルトのバインディング以外の任意のファイルにコードを実行されます。

パフォーマンスは、調達する合理的な問題ですが、私はセキュリティへの影響は大したこととは思わない。

潜在的な問題は、あなたが今、このような.exeファイルはサーバ上で実行され、ISAPIを切っリクエストを渡す前にIISによってフィルタリングないことするように機能拡張の要求を許可することになるでます。

あなたはどこにでもIISパス内の任意の.exe、コウモリ、またはその他の実行可能ファイルがある場合は、

は、すべてのユーザーがそれらを実行することができるでしょう。

あなたはIISのウェブサイト、彼らは悪意を持って使用することができ、何も含まれていませんので、仮想ディレクトリを設定する際には注意している場合は、

は、その後、あなたはOKである必要があります。

所属していません StackOverflow
scroll top