우리는 처음으로 확장없는 URL을 사용하려고합니다. 우리는 sys 관리자에게 IIS6에 와일드 카드 매핑을 추가하여 모든 요청이 asp.net을 통해 처리되도록 요청했습니다. 그들은 보안 우려를 이유로 뒤로 밀고있다. 와일드 카드 매핑의 잠재적 인 보안 문제에 대한 충분한 정보가 없어서 어떤 보안 문제가 발생할지 여부는 알 수 없습니다. 모든 의견을 주시면 감사하겠습니다.IIS6 와일드 카드 매핑 보안 문제?
기본적으로 IIS6에 와일드 카드 매핑을 추가하면 모든 요청이 .net 프레임 워크를 통해 처리됩니다. 나는 보안 문제에 대해 확실하지 오전하지만 성능 단점은
이 link text를 참조 provern 적이없는 것을 알고
잠재적 인 문제는 지금과 같은 .EXE 같은 확장에 대한 요청이 서버에서 실행 할 수있게 될 것입니다, ISAPI에 요청을 전달하기 전에 IIS가 필터링하지 않았습니다.
IIS 경로의 임의의 위치에 .exe, bat 또는 다른 실행 파일이 있으면 모든 사용자가 실행할 수 있습니다.
IIS 웹 사이트 및 가상 디렉터리를 설정하여 악의적으로 사용될 수있는 것을 포함하지 않도록주의를 기울이면 OK입니다.
제 지식이 잘못되었습니다. 와일드 카드 처리기를 추가해도 exe 또는 bat 파일 처리 방법은 변경되지 않습니다. 좀더 구체적으로 말하자면이 방법으로 특별히 설정하지 않는 한 요청은 웹 응용 프로그램에서 찾을 수없는 리소스로 필터링되거나 파일을 반환하는 기본 처리기에서 처리해야합니다. (나는 이것을 로컬에서 테스트 했으므로, 여러분이 묘사하는 동작을 재현 할 수 없었습니다) – CoderTao
그러면 web.config 파일은 어떻게됩니까? 다른 사람이 요청하면 IIS에서이 파일을 반환합니까? – Striker
ASP.net은이 문제를 해결하기 위해 자체적 인 안전 장치를 갖추고 있습니다. 그러나 처음부터 ISAPI에 도달하지 못하게하는 첫 번째 방어선을 계속 사용하고 있습니다. – AaronS
큰 문제는 대부분의 관리자 유형이 이해하지 못하는 것을 두려워한다는 것입니다. 그들은 IIS를 괴롭 히지만 전체 ASP.NET 파이프 라인은 외국입니다. 그 (것)들을 그들의 관심사를 문서화하게하십시오 그 후에 당신은 하나씩 그들을 아래로 쏠 수있다.
와일드 카드 매핑과 관련하여 상당히 정당한 성능 문제가 있지만 보안되지 않은 정적 파일을 다른 가상 사이트 (또는 사이트 매핑 내의 별도로 매핑 된 가상 디렉터리)로 푸시하면 쉽게 해결할 수 있습니다.
공격 위험이 증가하여 공격자가 IIS뿐 아니라 .NET 프레임 워크를 공격 할 수있는 보안 문제가 발생할 수 있습니다. 하지만 서버에서 모든 수신 응용 프로그램을 설치하는 것과 동일한 위험이 있습니다.
내가 오해 한 것은 이러한 바인딩으로 인해 .NET으로 실행되는 것으로 간주된다는 것입니다. 단지 .NET이 그것의 전달을 처리하도록합니다. web.config의 HttpModule 설정을 통해 실행되도록 구성된 경우에만 실제로 기본 바인딩이 아닌 다른 파일에서 코드가 실행됩니다 (어쨌든 와일드 카드를 넣기 전에 연결됩니다).
성능을 높이는 것이 합당한 문제이지만 보안 관련 사항이 중요하지 않다고 생각합니다.
가능성은 프레임 워크가 이미 IIS를 실행하는 컴퓨터, 심지어 2k3/IIS6에서 취약한 표면입니다. – andrewbadera
그래,하지만 내가 말하고자하는 것은 .NET의 비 코드 파일 배달에 영향을주는 공격이 존재하면 잠재적으로 보안 상 위험 할 수 있으므로 공격 대상이 증가한다는 것입니다. 나는 그런 결함이 없다는 것을 안다. 그리고이 문제의 실제적인 가능성은 미미하다. (그러므로 나는 심각하게 생각하지 않는다고 말하지만) 보안 결함이 될 수있는 최선의 주장이다. 그래서 나는 시도했다. 우려 할 수있는 잠재적 인 원인을 밝히고 왜 내가 현실적으로 문제가 될 것이라고 생각하지 않는지를 설명함으로써 균형 잡힌 시각을 제공해야합니다. – fyjham
나는 보안 문제를 문서화하도록 요청할 것입니다. –
나도 그들에게 물을 것이다! –