IIS 7.5의 보안 가장?

Question

전 여기에이 질문을 올렸습니다 : https://security.stackexchange.com/questions/34405/iis-7-5-impersonation-threat하지만 괜찮 으면 여기에서도 시도해 볼 것이라고 생각했습니다.

IIS 7.5를 사용하고 있으며 인트라넷 환경에서 다른 응용 프로그램에 대해 사용자를 가장하려고합니다. 이렇게하려면 web.config (암호화 됨)에서 asp.net 메커니즘을 사용자/암호와 함께 사용하는 것을 고려하고 있지만 몇 가지 가능한 위협에 대해 확신 할 수 없습니다. (

• 한 빈 디렉토리 directorya 위를 : 나는 (내 예는 쓸모가 알고 있지만 내 상황이 그렇게 나와 함께 곰하시기 바랍니다 나타냄)

  의 내가이 디렉토리가 있다고 가정 해 봅시다 개념으로 설명하겠습니다)는 모든 사용자 (ntfs 사용 권한)에 대한 액세스를 허용하고 UserA를 가장하는 web.config를 포함합니다.

• 액세스를 제한하려는 웹 사이트가 포함 된 하나의 디렉토리 (DirectoryB)에는 web.config UserA를 가장하는 사용자 (오타가 아닌 DirectoryA와 동일한 사용자)

DirectoryB에서 가장을 수행하려면 DirectoryB에서 UserA를 허용하는 NTFS 권한을 부여해야합니다.

제 질문은 누군가가 DirectoryA (UserA로 가장 할 것입니다)에 액세스 한 다음 가장 된 UserA를 사용하여 DirectoryB에 사이트에 액세스 할 수 있습니까? 그렇다면 어떻게?

어떤 통찰력

Answer 1

서로 통신하지 않는 두 과정을 주셔서 감사합니다, 그래서 directorya 위는 같은 프로그래머 코드 그것을하지 않는 directoryb 위와 통신하는 것이 불가능하다. 누군가가 directorya 위를 ( 사용자 A로 그를 가장 것이다)에 액세스하고 어떻게 든 가장 된 사용자 A를 사용하여 directoryb 위의 사이트에 접근 할 수

은 가능합니까? 그렇다면 어떻게?

가능한 유일한 방법은 DirectoryA가 DirectoryB에 직접 액세스하는 기능을 구현하는 경우입니다. 그렇지 않으면 안전합니다.

그러나 DirectotyB webSite는 UserA ID로 리소스에 액세스하므로 실제로는 각 프로세스마다 다른 ID를 사용해야합니다. 누군가가 DirectoryB webSite를 사용하여 DirectoryB ....에서 사용되는 동일한 리소스에 액세스 할 수 있습니다.