3
我們希望在我們的組織中首次使用無擴展名的URL。我們已經要求我們的系統管理員爲IIS6添加通配符映射,以便通過asp.net處理所有請求。他們正在推遲,引用安全問題。我沒有足夠的關於通配符映射的潛在安全問題的信息來了解它可能或不可能創建的安全問題。對於任何反饋,我們都表示感謝。IIS6通配符映射安全性問題?
A
回答
2
基本上通過向IIS6添加通配符映射,所有請求都將通過.net框架進行處理。我不知道有關的安全問題,但知道性能劣勢從未provern
-3
的潛在的問題是,你現在將被允許在服務器上執行的延期請求如.exe,並且在將請求交給ISAPI之前不會被IIS過濾掉。
如果您在IIS路徑的任何位置有任何.exe,bat或其他可執行文件,任何用戶都可以執行它們。
如果您在設置IIS網站和虛擬目錄時非常小心,以便它們不包含任何可能被惡意使用的內容,那麼您應該沒問題。
+1
據我所知,這是錯誤的。添加通配符處理程序不會改變如何處理exe文件或bat文件。更具體地說,除非專門設置了這種方式,否則請求應該作爲未找到的資源被Web應用程序過濾掉,或者由默認處理程序處理,該處理程序只會返回文件。 (我已經在本地進行了測試,並且無法重現您描述的行爲) – CoderTao 2009-07-24 16:00:53
1
我懷疑,最大的問題是,大多數管理員類型都擔心他們不理解。他們注意IIS,但整個ASP.NET管道是外來的。讓他們記錄他們的擔憂,然後你可以逐個拍攝他們。
通配符映射存在一個相當合理的性能問題,但可以通過將非安全靜態文件推送到另一個虛擬站點(甚至是站點sans映射中的單獨映射虛擬目錄)輕鬆解決。
-1
只有可能的安全問題來自於增加的攻擊面,導致攻擊者現在可以攻擊.NET框架而不僅僅是IIS。但這與在服務器上安裝任何偵聽應用程序的風險相同。
我假設的誤解是,他們認爲這個綁定將使任何運行.NET的東西,它不會。它只是讓.NET處理它的交付。只有當它被配置爲通過web.config中的HttpModule設置來執行時,它纔會真正在除默認綁定之外的任何文件中運行代碼(無論如何,它們都是在您將通配符放入之前掛接的那些文件中的代碼)。
性能是一個合理的問題來提高,但我不認爲安全影響是一個大問題。
相關問題
- 1. IIS6與ASP MVC通配符映射
- 2. 每種方法的WCF +通配符映射+ IIS6 = 404s!
- 3. IIS6通配符映射斷裂.net自定義錯誤
- 4. 通過SSL爲IIS6配置WCF傳輸安全性
- 5. XML的屬性字符映射問題
- 6. IIS 6通配符映射
- 7. ASP.NET的通配符映射和PHP的問題
- 8. 春季控制器映射問題 - 雙通配符
- 9. Spring安全性 - 攔截url映射
- 10. 配置彈簧安全性問題4
- 11. 彈簧安全性WebSecurityConfigurerAdapter配置問題
- 12. IIS6,MVC,Handler映射和CKFinder
- 13. MVC + Extjs + IIS6 +通配符映射=發佈表單導致302對象移動
- 14. 以編程方式設置IIS6通配符應用程序映射
- 15. MVC2 + ASP.NET 4.0 + IIS6 +擴展名URLS不再需要通配符映射?
- 16. php on iis6配置問題
- 17. 映射問題
- 18. 彈簧安全映射
- 19. C++線程安全映射
- 20. Tomcat安全角色映射
- 21. 與彈簧安全集成後的Handler映射問題
- 22. Spring安全配置問題
- 23. 通配符Tomcat url映射或篩選器映射
- 24. DB2安全性問題
- 25. Silverlight window.external.notify()安全性問題?
- 26. 通配符請求的web.xml servlet映射
- 27. 將通配符域映射到Azure AppService
- 28. hostgator:通配符子域映射到URL
- 29. Elasticsearch定義通配符映射
- 30. Tomcat7/Apache2 URL通配符映射
我會要求他們記錄他們的安全問題。 – 2009-07-24 15:44:58
我也會問他們! – 2009-07-24 15:50:44