Безопасный классический хостинг ASP - аналог среднего уровня доверия ASP.NET

Question

Безопасный классический хостинг ASP - аналог среднего уровня доверия ASP.NET

У нас был большой компромисс сервера в течение рождественского периода, когда для загрузки.net задней двери использовалась сжатая учетная запись FTP, которая давала ему доступ ко всей учетной записи машины asp.net и включала в себя десятки магазинов электронной коммерции.

Мы отключили компромисс и навели порядок, но я хочу положить этому конец. Проведя мое исследование, выяснилось, что ограничение приложений.net средним (не полным доверием) гарантирует, что приложения сохраняют себя и не могут взаимодействовать при нормальных обстоятельствах.

Тем не менее, поскольку наше приложение - это классический ASP и.NET, защита.net практически бесполезна, если я тоже не могу защитить ASP.

Кто-нибудь знает, какую дополнительную безопасность мне может понадобиться для того, чтобы защитить ASP аналогичным образом?

1

iis-6 .net asp

Источник

Deku-shrub 25 янв '12 в 17:02

1 ответ

Другие вопросы по тегам iis-6 .net asp

MikeMurko 25 янв '12 в 17:33 2012-01-25 17:33 · Answer 1 · 2012-01-25 17:33

Жаль слышать о вашем вторжении.

AFAIK, вам, вероятно, придется посмотреть на пулы приложений. Я не эксперт в этом, но насколько я понимаю, вы можете настроить рабочий процесс ASP (w3wp.exe) для запуска в пуле приложений под указанным пользователем (вместо обычной учетной записи SYSTEM или IUSR). Тогда в Windows вы можете довольно сильно заблокировать этого пользователя. Например, вы бы предоставили им только доступ к папке wwroot/{yourwebsitename}, возможно, только для чтения этой папки - если только вы не выполняете запись какого-либо объекта файловой системы (для кэширования или по другим причинам).

При настройке каждого из ваших веб-сайтов в различные пулы приложений (с соответственно разными пользователями) нарушение одного веб-сайта не должно влиять на другие сайты в wwwroot.

Как я уже говорил, вам придется больше читать самостоятельно, но это отправная точка для вашего исследования.

Также убедитесь, что вы прошли через настройки ASP в IIS и отключили такие вещи, как удаленная отладка и отправка ошибок клиенту. Общий учебник / книга по безопасности IIS, вероятно, будет лучшим ресурсом, чем что-то конкретное для ASP. Рассматривали ли вы обновление сервера до IIS7? Я уверен, что есть много эксплойтов, исправлений ошибок и тому подобного - и обычно рекомендуется постоянно обновляться (хотя это зависит от ОС, так что вы можете связать свои руки там).