IIS6 와일드 카드 매핑 보안 문제?

Question

우리는 조직에서 처음으로 Extensionless URL을 활용하려고합니다. 우리는 SYS 관리자가 IIS6에 와일드 카드 매핑을 추가하여 모든 요청이 ASP.NET을 통해 처리되도록 요청했습니다. 그들은 보안 문제를 인용하면서 철회하고 있습니다. 와일드 카드 매핑과 관련된 잠재적 보안 문제에 대한 정보가 충분하지 않아서 어떤 보안 문제가 생성 될 수 있는지 알 수 있습니다. 모든 피드백에 감사드립니다.

Answer 1

기본적으로 IIS6에 와일드 카드 매핑을 추가하면 모든 요청이 .NET Framework를 통해 처리됩니다. 보안 문제에 대해서는 확신이 없지만 성과 단점이 절대 지향적이지 않았다는 것을 알고 있습니다.

보다 링크 텍스트

Answer 2

큰 문제는 대부분의 관리자 유형이 이해하지 못하는 것을 두려워한다고 생각합니다. 그들은 II를 집어 넣었지만 전체 ASP.NET 파이프 라인은 외국입니다. 그들에게 그들의 우려를 문서화하도록하면 당신은 그들을 한 번만 촬영할 수 있습니다.

와일드 카드 매핑에는 상당히 합법적 인 성능 문제가 있지만, 보안되지 않은 정적 파일을 다른 가상 사이트 (또는 사이트 SANS 매핑 내 별도 맵핑 된 가상 디렉토리)로 푸시하여 쉽게 해결할 수 있습니다.

Answer 3

가능한 보안 문제만이 공격 표면의 증가로 인한 것이며, 공격자는 이제 II뿐만 아니라 .NET 프레임 워크를 공격 할 수 있습니다. 그러나 이는 서버에 청취 애플리케이션을 설치하는 것과 동일한 위험입니다.

내가 생각하는 오해는 그들이이 바인딩이 .NET으로 실행될 것이라고 생각한다는 것입니다. .NET가 전달을 처리하게 만듭니다. web.config에서 httpmodule 설정을 통해 실행되도록 구성된 경우에만 기본 바인딩 이외의 파일에서 코드가 실행됩니다 (어쨌든 와일드 카드에 넣기 전에 연결하는 것).

성능은 합당한 문제이지만 보안 영향이 큰 문제라고 생각하지 않습니다.

Answer 4

잠재적 인 문제는 이제 서버에서 .exe와 같은 확장 요청을 허용하고 ISAPI에 요청을 전달하기 전에 IIS에 의해 필터링되지 않도록하는 것입니다.

IIS 경로의 어디에서나 .Exe, BAT 또는 기타 실행 가능한 파일이있는 경우 모든 사용자가 실행할 수 있습니다.

IIS 웹 사이트와 가상 디렉토리를 설정하는 데주의를 기울이면 악의적으로 사용할 수있는 것이 포함되어 있지 않으면 괜찮을 것입니다.