ネットワークサービスアカウントにASP.NETWebアプリケーションへの読み取り/書き込みアクセス許可を与えることの危険性は何ですか?VistaDbデータベースのApp_Dataや、画像を更新したりテキストファイルに変更を加えたりするためのランダムなディレクトリなど、アプリが書き込む必要のあるディレクトリに対してこれを行う必要があります。これを行うことの危険性は何ですか。また、ネットワークサービスのWebアプリケーション全体に読み取り/書き込み権限を付与するだけでもかまいませんか?
5070 次
4 に答える
6
ネットワーク サービス アカウントにフォルダーへの書き込みアクセス許可を与えることによる最大のセキュリティ リスクは、共有ホスティングで、または同じサーバーで複数の Web サイトを実行している場合に発生します。
基本的に、変更権限を付与すると、サーバーが Network Service として実行するように構成された他のすべての ASP.NET アプリケーション (すべて既定) にも、そのフォルダーへの書き込み権限が付与され、悪用される可能性があります。
于 2008-12-17T19:04:38.393 に答える
2
これを行う危険性は、Network Service が共有アカウントであり、このアカウントで実行されているアプリケーションまたはサービスがそのディレクトリにアクセスできることです。
使用している IIS のバージョンによっては、Web アプリケーションを別のアプリケーション プールに配置して、別のユーザー アカウントで実行することができます。次に、Network Service ではなく、そのユーザーにのみアクセスを許可できます。これは、IIS 6 以降でのみ使用できます。
于 2008-12-17T19:04:45.103 に答える
2
もちろん、当面の危険は、ネットワークサービスがこれらのフォルダーに読み書きできることですが、Microsoftごとに-このアカウントは、権限が制限された最小特権のマシンアカウントです。ドメインを使用している場合は、ドメイン アカウントを使用することをお勧めします。両方の詳細については、http://msdn.microsoft.com/en-us/library/ms998320.aspxを参照してください。
于 2008-12-17T19:07:01.727 に答える
1
わかりました。あなたのアプリケーションがファイル システムにファイルを書き込む方法がわかれば、アプリケーションの仮想ディレクトリ全体に読み取り/書き込みを許可したので、Web サイトに aspx ファイルを書き込んで、それを呼び出して、任意の実行を実行できます。コードには、WMI 呼び出しや COM 相互運用などのクールなものが含まれます。
あなたのアプリケーション (フレームワーク自体など、あなたが作成していない部分を含む) を使用して Web サイトにファイルを書き込むことができないことを最終的に証明する時間とリソースはありますか? ntfs アクセス許可を設定するのが (時間的に) 非常に安価な場合に、可能性を排除しないのはなぜですか?
ここで、App_Data だけに権利を付与すると、そのフォルダーに aspx ファイルを書き込んだとしても、App_data フォルダーはランタイムによって特別なものとして扱われ、そこからファイルを提供しないため、それを呼び出すことができません (誰かがhttp://yourserver.com/app_data/data.mdbに電話して、ファイルをダウンロードするだけでデータベースをハッキングしないようにします)。明らかに、App_Data 内のこれらのファイルには ADO などを使用してアクセスできますが、これはセキュリティ上の問題ではありません。
于 2008-12-20T19:35:25.533 に答える