IIS 7.5 minaccia di impersonificazione?

Naviga le tue risposte
3

Sto usando IIS 7.5 e voglio impersonare gli utenti per le mie diverse applicazioni in un ambiente intranet. Per fare ciò, sto considerando di utilizzare il meccanismo asp.net con l'utente / password nel web.config (crittografato), ma non sono sicuro di alcune possibili minacce. Lo spiegherò con un concetto (so che il mio esempio è inutile ma rappresenta la mia situazione quindi ti prego di sopportare me)

Diciamo che ho 2 directory:

  • Una directory vuota (DirectoryA) che consente l'accesso a tutti gli utenti (permessi ntfs) e che contiene un web.config che impersona UserA

  • Una directory (DirectoryB) contenente un sito Web a cui voglio limitare l'accesso, che contiene anche un web.config che impersona UserA (stesso utente di DirectoryA, non un errore di battitura)

Per avere la rappresentazione in corso su DirectoryB, ho bisogno di dare il permesso ntfs permettendo UserA in DirectoryB.

La mia domanda è: è possibile che qualcuno acceda a DirectoryA (che lo impersonerà come UserA) e poi in qualche modo acceda al sito su DirectoryB usando l'UserA impersonato? Se lo è, come?

Grazie per qualsiasi informazione

    
posta ChG 16.04.2013 - 02:25
fonte

2 risposte

1

IIS 7.5 dovrebbe mantenere entrambi i siti indipendenti anche se l'utente è lo stesso. Vorrei consigliare di eseguire i siti in diversi pool di applicazioni. :)

Ma entrambi i siti avranno accesso a cui l'utente è definito per avere accesso.

Quindi, se la tua applicazione web non è abbastanza potente potrebbe esistere la possibilità di provare a navigare verso l'altra directory.

"Utilizzare la rappresentazione di ASP.NET quando si desidera eseguire l'applicazione ASP.NET in un contesto di sicurezza diverso dal contesto di sicurezza predefinito per l'applicazione ASP.NET.

Se si abilita la rappresentazione per un'applicazione ASP.NET, tale applicazione può essere eseguita in uno di due diversi contesti: come utente autenticato da IIS 7 o come account arbitrario che si imposta. Ad esempio, se si stava utilizzando l'autenticazione anonima e si è scelto di eseguire l'applicazione ASP.NET come utente autenticato, l'applicazione verrebbe eseguita con un account configurato per utenti anonimi (in genere, IUSR). Allo stesso modo, se scegli di eseguire l'applicazione con un account arbitrario, verrebbe eseguito in qualsiasi contesto di sicurezza impostato per quell'account. "

fonte: link

    
risposta data 17.06.2013 - 13:35
fonte
0

Non ho il pulsante "Comment", quindi perdonami se questa non è una risposta completa. Forse un moderatore può convertirlo in un commento se necessario. Ma almeno posso parzialmente rispondere alla tua domanda.

Chiedi "è possibile che qualcuno acceda a DirectoryA ...". Per impostazione predefinita la navigazione nella directory non è abilitata e si dice che la directory è vuota. Ciò significa che non verrà restituito nulla e si ottiene un errore 404 non trovato quando si accede a DirectoryA.

Se un utente effettua una seconda richiesta (in seguito) e accede a DirectoryB, e userA ha accesso lì, si ottiene l'accesso. Non c'è differenza se accedi a DirectoryB o A per primi.

Stai parlando di un utente / password crittografato in web.config. Non sono sicuro di cosa stai parlando, forse la connessione al database? In IIS, Impostazioni di base, Connetti come, si definisce in che modo IIS accede ai file. Questo può essere "pass through" o un utente specifico. Hai parlato di un utente specifico, quindi l'utente deve avere accesso ai file. D'altra parte dici che DirectoryB è limitato, quindi devi utilizzare il pass through, in modo da limitare le autorizzazioni sui file.

Come tag si parla di ASP.NET. Questo è un altro argomento. Se stai facendo l'autenticazione tramite qualsiasi metodo .NET, allora questa è una domanda di applicazione. In ogni caso la tua domanda è un po 'sfocata, quindi non è chiaro a cosa rispondere. Forse fornisci qualche dettaglio in più o sii più chiaro su ciò che vuoi sapere.

    
risposta data 08.07.2013 - 23:29
fonte

Leggi altre domande sui tag

Perché i siti web limitano la lunghezza della password? [duplicare] Quali sono i buoni strumenti per la scoperta di CRLF? [chiuso]