Ho notato alcuni gestori HTTP nel mio Web.config che sembrano intercettare il traffico HTTP e manipolarlo.
Poiché c'è già stato un exploit con un componente simile prodotto da Microsoft, cosa si dovrebbe fare con * .AXD prodotto in-house e terze parti?
Devo trattare i server con AXD personalizzati in modo diverso rispetto ad altri server Web (come la creazione di una VLAN ad alta sicurezza?)
HttpModules è un codice a livello di applicazione. Sono abilitati per un'applicazione nel suo web.config e non dovrebbero (accidentalmente) influenzare altri pool di applicazioni. Non hanno intrinsecamente più diritti di qualsiasi altro codice app.
Di conseguenza meritano lo stesso livello di controllo di qualsiasi altro codice personalizzato che stai utilizzando, ma non comportano alcun rischio per l'infrastruttura che non hai già.
HttpModules! = HttpHandlers.
Un HttpModule viene eseguito nella pipeline prima che venga caricata qualsiasi pagina. Una pagina è un HttpHandler speciale. Un HttpHandler esegue un codice personalizzato per una particolare estensione di file senza dover caricare l'oggetto Pagina WebForm (a meno che non sia l'HttpHandler di aspx). La differenza tra l'utilizzo di uno di questi rispetto al codice in una pagina è quando il codice viene eseguito all'interno del ciclo di vita della richiesta. @Bobince ha ragione. Sono codice a livello di applicazione in modo che non possano violare un altro pool di applicazioni più del codice a livello di pagina possibile.
La vera domanda è: le applicazioni personalizzate possono essere su una VLAN separata? Ehh ... dipende dall'ambiente che è necessario proteggere, dall'applicazione stessa e dagli utenti dell'applicazione.
Leggi altre domande sui tag iis audit network webserver web-application