Проблемы безопасности при сопоставлении подстановочных знаков IIS6?
https://stackoverflow.com/questions/1178467
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мы хотим впервые в нашей организации использовать URL-адреса без расширений.Мы попросили наших системных администраторов добавить в IIS6 сопоставление с подстановочными знаками, чтобы все запросы обрабатывались через asp.net.Они сопротивляются, ссылаясь на соображения безопасности.У меня недостаточно информации о потенциальных проблемах безопасности, связанных с сопоставлением подстановочных знаков, чтобы знать, какие проблемы безопасности оно может создать, а какие нет.Любая обратная связь будет оценена.
Решение
По сути, если добавить в IIS6 сопоставление подстановочных знаков, ВСЕ запросы будут обрабатываться через платформу .net.Я не уверен насчет проблем безопасности, но знаю, что недостаток производительности никогда не был доказан.
видеть текст ссылки
Другие советы
Я подозреваю, что большая проблема заключается в том, что большинство администраторов боятся того, чего не понимают.IIS они врубают, но весь конвейер ASP.NET — чужой.Попросите их задокументировать свои опасения, а затем вы сможете расстреливать их одного за другим.
Существует довольно законная проблема с производительностью при сопоставлении с подстановочными знаками, но ее можно легко решить, переместив незащищенные статические файлы на другой виртуальный сайт (или даже в отдельно сопоставленный виртуальный каталог на сайте без сопоставлений).
Единственная возможная проблема безопасности может быть связана с увеличением поверхности атаки, поскольку теперь злоумышленник может атаковать инфраструктуру .NET, а не только IIS.Но это тот же риск, который вы берете на себя, устанавливая любые прослушивающие приложения на свой сервер.
Я предполагаю, что недоразумение заключается в том, что они думают, что эта привязка заставит все работать как .NET, но это не так.Он просто заставляет .NET обрабатывать его доставку.Только если он настроен на выполнение через настройки HttpModule в файле web.config, он фактически запустит код в любых файлах, кроме привязок по умолчанию (которые в любом случае подключаются до того, как вы вставите подстановочный знак).
Производительность — это разумный вопрос, который стоит поднять, но я не думаю, что последствия для безопасности имеют большое значение.
Потенциальная проблема заключается в том, что теперь вы будете разрешать выполнение запросов на расширения, такие как .exe, на сервере и не фильтроваться IIS перед передачей запросов в ISAPI.
Если в любом месте пути IIS есть файлы .exe, bat или другие исполняемые файлы, любой пользователь сможет их выполнить.
Если вы будете осторожны при настройке веб-сайтов IIS и виртуальных каталогов, чтобы они не содержали ничего, что могло бы быть использовано злонамеренно, то все будет в порядке.
