保存桌面快捷方式 - - 设为首页 - 手机版
凹丫丫旗下网站:四字成语大全 - 故事大全 - 范文大全
您现在的位置: 范文大全 >> 理工论文 >> 服务器安全及应用 >> 正文

一个ASP.NET虚拟主机安全漏洞的解决方案


.net 应用程序,需要具有 IIS 5 服务器上某些位置的访问权限,进程标识 W3WP.exe 也需要具有类似位置的访问权限,而且还需要一些默认情况下没有指派给内置组的权限。

  为了管理的方便,在安装 IIS 6 时创建了 IIS_WPG 组(也称为 IIS 工作进程组,IIS Worker Process Group),而且它的成员包括 Local System(本地系统)、Local Service(本地服务)、Network Service(网络服务)和 IWAM 帐户。IIS_WPG 的成员具有适当的 NTFS 权限和必要的用户权限,可以充当 IIS 6 中工作进程的进程标识。

  因此,Network Service 帐户提供了访问上述位置的权限,具有充当 IIS 6 工作进程的进程标识的充足权限,以及具有访问网络的权限。

  Msdn上说:在 Windows Server 2003 中,用户上下文称为 NETWORK SERVICE。这些用户帐户是在 .NET Framework 安装过程中创建的,它具有唯一的不易破解的密码,并仅被授予有限的权限。ASPNET 或 NETWORK SERVICE 用户只能访问运行 Web 应用程序所需的特定文件夹,如 Web 应用程序存储已编译文件的 \bin 目录。

  要将进程标识设置为特定用户名,以取代 ASPNET 或 NETWORK SERVICE 用户标识,您提供的用户名和密码都必须存储在 machine.config 文件中。

  但是根据实际情况,asp.net的system.io可以无限制访问不设防的服务器路径。不知道这算不算一个ms的重大漏洞。而且根本不能使iis以machine.config的用户执行asp.net程序。J

  如何解决呢?答案就是—应用程序池。

  IIS 6.0 在被称为应用程序隔离模式(隔离模式)的两种不同操作模式下运行,它们是:工作进程隔离模式和 IIS 5.0 隔离模式。这两种模式都要依赖于 HTTP.sys 作为超文本传输协议 (HTTP) 侦听程序;然而,它们内部的工作原理是截然不同的。

  工作进程隔离模式利用 IIS 6.0 的重新设计的体系结构并且使用工作进程的核心组件。IIS 5.0 隔离模式用于依赖 IIS 5.0 的特定功能和行为的应用程序。该隔离模式由 IIs5IsolationModeEnabled 配置数据库属性指定。

  您所选择的 IIS 应用程序隔离模式对性能、可靠性、安全性和功能可用性都会产生影响。工作进程隔离模式是 IIS 6.0 操作的推荐模式,因为它为应用程序提供了更可靠的平台。工作进程隔离模式也提供了更高级别的安全性,因为运行在工作进程中的应用程序的默认标识为 NetworkService。

  以 IIS 5.0 隔离模式运行的应用程序的默认标识为 LocalSystem,该标识允许访问并具有更改计算机上几乎所有资源的能力。

 

IIS 功能
 IIS 5.0隔离模式宿主/组件
 工作进程隔离模式宿主/组件
 
工作进程管理
 N/A
 Svchost.exe/WWW 服务
 
工作进程
 N/A
 W3wp.exe/工作进程
 
运行进程内ISAPI 扩展
 Inetinfo.exe
 W3wp.exe
 
运行进程外ISAPI 扩展
 DLLHost.exe
 N/A(所有的 ISAPI 扩展都在进程内)
 
运行ISAPI筛选器
 Inetinfo.exe
 W3wp.exe
 
HTTP.sys 配置 Svchost.exe/WWW 服务
 Svchost.exe/WWW
 服务
 
HTTP 协议支持
 Windows内核/HTTP.sys
 Windows 内核/HTTP.sys
 
IIS配置数据库
 Inetinfo.exe
 Inetinfo.exe
 
FTP
&n

《一个ASP.NET虚拟主机安全漏洞的解决方案(第2页)》
本文链接地址:http://www.oyaya.net/fanwen/view/141253.html

★温馨提示:你可以返回到 服务器安全及应用 也可以利用本站页顶的站内搜索功能查找你想要的文章。