IIS 7.5模擬安全？

Question

我之前在這裏發佈了這個問題：https://security.stackexchange.com/questions/34405/iis-7-5-impersonation-threat但我想我會在這裏嘗試，如果沒關係。

我正在使用IIS 7.5，我想在Intranet環境中爲我的不同應用程序模擬用戶。爲此，我正在考慮在web.config（加密）中使用帶有用戶名/密碼的asp.net機制，但我不確定是否存在一些可能的威脅。我會用一個概念解釋（我知道我的例子是無用的，但它代表了我的情況，所以請多多包涵）

比方說，我有2個目錄：

• 一個空目錄（DirectoryA ）允許訪問所有用戶（ntfs權限）並且包含模擬用戶A的web.config一個包含我想限制訪問的網站的目錄（DirectoryB），其中還包含web.config該模擬用戶A（與DirectoryA相同的用戶，而不是打字錯誤）

要在DirectoryB上進行模擬，我需要給DirectoryB中的UserA賦予ntfs權限。

我的問題是：是否有人可以訪問DirectoryA（它會模仿他作爲UserA），然後以某種方式訪問​​DirectoryB上使用模擬UserA的網站？如果是，如何？

感謝任何洞察

Answer 1

兩個過程不彼此通信，所以它是不可能的DirectoryA與DirectoryB除非程序員代碼它喜歡它通信。

是否有可能有人訪問DirectoryA（這將 扮演他作爲用戶A），然後以某種方式訪問​​該網站上使用模擬的用戶A DirectoryB？如果是，如何？

的唯一方法，它可能是可能的是，如果DirectoryA具體實施直接訪問DirectoryB功能。否則它是安全的。

但是，因爲DirectotyB網站將以UserA身份訪問其資源，所以您應該爲每個進程真正使用不同的身份。有人可以使用DirectoryA網站訪問由DirectoryB ....使用的相同資源，如果它編碼如此。