組織で初めて拡張子のない URL を利用しようとしています。すべての要求が asp.net を介して処理されるように、システム管理者に IIS6 へのワイルドカード マッピングを追加するよう要求しました。彼らは、セキュリティ上の懸念を理由に反発している。ワイルドカード マッピングの潜在的なセキュリティ問題について、どのようなセキュリティ問題が発生する可能性があるか、または発生しない可能性があるかを知るのに十分な情報がありません。フィードバックをいただければ幸いです。
4 に答える
1
大きな問題は、ほとんどの管理者タイプが、理解できないことを恐れていることだと思います。彼らは IIS を理解していますが、ASP.NET パイプライン全体は外部のものです。懸念事項を文書化してもらい、1 つずつ解決することができます。
ワイルドカード マッピングにはかなり正当なパフォーマンス上の懸念がありますが、セキュリティで保護されていない静的ファイルを別の仮想サイト (またはサイト sans マッピング内の個別にマップされた仮想ディレクトリ) にプッシュすることで簡単に解決できます。
于 2009-07-24T16:51:35.560 に答える
-1
セキュリティ上の懸念として考えられるのは、攻撃面の増加によるものだけです。これは、攻撃者が IIS だけでなく .NET フレームワークを攻撃できるようになったためです。しかし、これは、サーバーにリッスンするアプリケーションをインストールする場合と同じリスクです。
私が推測する誤解は、彼らは、このバインドによって何でも .NET として実行できると考えているということです。実際にはそうではありません。.NET に配信を処理させるだけです。web.config の HttpModule 設定を介して実行されるように構成されている場合にのみ、デフォルトのバインディング以外のファイルで実際にコードを実行します (ワイルドカードを挿入する前にフックするファイルです)。
パフォーマンスは提起するのに妥当な問題ですが、セキュリティへの影響は大した問題ではないと思います。
于 2009-11-25T12:43:54.677 に答える
-3
潜在的な問題は、.exeなどの拡張子の要求をサーバーで実行できるようにし、ISAPIに要求を渡す前にIISによってフィルターで除外されないようにすることです。
IISパスのどこかに.exe、bat、またはその他の実行可能ファイルがある場合、すべてのユーザーがそれらを実行できます。
IIS Webサイトと仮想ディレクトリを慎重に設定して、悪意を持って使用される可能性のあるものが含まれないようにする場合は、問題ないはずです。
于 2009-07-24T15:49:04.863 に答える