è OK concedere l'autorizzazione per IUSR_ a cmd.exe?

0

Uno dei miei sviluppatori mi ha chiesto di concedere l'autorizzazione all'utente IUSR_ (l'utente IIS) a CMD.exe (console) ora mi chiedo se è sicuro farlo? Si lamenta che le sue biblioteche hanno dovuto usare la console per lavorare bene. Cosa ne pensi?

    
posta Krystian 17.10.2012 - 12:15
fonte

1 risposta

4

Secondo me, ci sono due problemi qui:

  1. Il tuo sviluppatore genera direttamente shell per eseguire operazioni. Questo è un segno di codice di scarsa qualità, una soluzione dubbia, o il tuo sviluppatore non ha abbastanza tempo / esperienza per eseguire l'operazione da solo. Devi scoprire quale è.
  2. Consentire l'accesso _IUSR a cmd.exe apre alcune brutte possibilità per lo shellcode, se in seguito il tuo servizio IIS risultasse vulnerabile a un bug di esecuzione di codice in modalità remota.

Chiedigli esattamente cosa sta lanciando e chiedi se può trovare una soluzione alternativa. Se sta eseguendo una sorta di attività esterna, perché non sta utilizzando l'API Utilità di pianificazione di Windows piuttosto che generare direttamente conchiglie? Se sta utilizzando un'utility esistente (ad esempio xcopy , ping , ecc.) Come soluzione alternativa, dovresti chiedergli di farlo correttamente e allocare il tempo e le risorse appropriati per farlo.

Ricorda che un "no" piatto è inutile per lui come sviluppatore. Spiega esattamente perché sarebbe un problema di sicurezza. Se possibile, esegui il backup con qualcosa dalla tua politica di sicurezza. Cerca di essere empatico della sua situazione: gli sviluppatori di solito hanno 6 mesi di lavoro da fare in 6 settimane, quindi una soluzione è d'oro. Se è il caso in cui non ha il tempo di svolgere correttamente il lavoro, parla con il project manager e verifica se l'oscilloscopio può essere modificato.

    
risposta data 17.10.2012 - 12:29
fonte

Leggi altre domande sui tag