最近、App_Themes フォルダーに LESS ファイルを動的に生成する機能を実装しました。これは、アプリケーションの開始時に行われます。
これには、@ApplicationPoolIdentity@ に App_Themes フォルダーへの書き込みアクセス権を付与する必要があります。
ただし、システム管理者は、@ApplicationPoolIdentity@ に書き込みアクセス権を付与することを望んでいません。セキュリティ上の理由から。
それを行うのは安全ではありませんか?セキュリティリスクとは?
アプリケーション、または ASP.NET または IIS 自体にリモート コード実行の脆弱性が存在する場合、アプリケーションまたは Web サーバーを介してシステムに侵入した人はコマンド シェルを取得し、サーバーなどにログインする可能性がありDefaultAppPoolます。
フォルダーへの書き込みアクセス権がある場合、攻撃者はこのフォルダー自体に書き込みを行う可能性があります。
たとえば、あなたのサイトで独自のコンテンツをホストしexample.com/App_Themes/index.htmlたり、管理者への権限昇格を可能にするエクスプロイトをアップロードしたりする可能性があります。後者の場合、たとえば、ドロップされたエクスプロイトの URL を要求するなどして、何らかの方法で Web サーバーに実行させることができない限り、おそらく実行権限も必要になるでしょう。
もちろん、これが発生するには、脆弱性が最初に存在する必要があります。書き込みアクセスを防止することも「多層防御」と見なすことができますが、アプリケーションでこれが必要な場合は、リスクを許容できる可能性があります。別の方法は、目的の機能を実装する別の方法を見つけることです。