¿Amenaza de suplantación de IIS 7.5?

Question

¿Amenaza de suplantación de IIS 7.5?

#1 de Hugo (1 votos)
#2 de http (0 votos)

3

Estoy usando IIS 7.5 y quiero suplantar a los usuarios para mis diferentes aplicaciones en un entorno de intranet. Para hacerlo, estoy considerando usar el mecanismo asp.net con el usuario / contraseña en web.config (cifrado), pero no estoy seguro de algunas posibles amenazas. Lo explicaré con un concepto (sé que mi ejemplo es inútil pero representa mi situación, así que por favor, tenga paciencia conmigo)

Digamos que tengo 2 directorios:

Un directorio vacío (DirectoryA) que permite el acceso a todos los usuarios (permisos ntfs) y que contiene un web.config que se hace pasar por UserA
Un directorio (DirectoryB) que contiene un sitio web al que quiero restringir el acceso, que también contiene un web.config que se hace pasar por UserA (el mismo usuario que DirectoryA, no un error tipográfico)

Para que la suplantación se ejecute en DirectoryB, debo otorgarle el permiso ntfs a Permitir al UsuarioA en DirectoryB.

Mi pregunta es: ¿es posible que alguien acceda a DirectoryA (que lo personificará como UserA) y luego de alguna manera acceda al sitio en DirectoryB utilizando el UserA suplantado? Si es así, ¿cómo?

Gracias por cualquier idea

asp.net iis

pregunta ChG 16.04.2013 - 02:25

fuente

2 respuestas

Lea otras preguntas en las etiquetas asp.net iis

¿Cómo evalúa y audita el Servicio de autenticación central (CAS)? Hacer cumplir el firewall personal para OS X

score 1 · Answer 1

IIS 7.5 debe mantener ambos sitios independientes incluso si el usuario es el mismo. Yo recomendaría ejecutar los sitios en diferentes grupos de aplicaciones. :)

Pero ambos sitios tendrán acceso donde el usuario está definido para tener acceso.

Entonces, si su aplicación web no es lo suficientemente fuerte, podría existir la posibilidad de intentar navegar al otro directorio.

"Use la suplantación de ASP.NET cuando desee ejecutar su aplicación ASP.NET en un contexto de seguridad diferente al contexto de seguridad predeterminado para la aplicación ASP.NET.

Si habilita la suplantación para una aplicación ASP.NET, esa aplicación se puede ejecutar en uno de dos contextos diferentes: ya sea como usuario autenticado por IIS 7 o como una cuenta arbitraria que configure. Por ejemplo, si estaba usando la autenticación anónima y eligió ejecutar la aplicación ASP.NET como el usuario autenticado, la aplicación se ejecutaría bajo una configuración de cuenta para usuarios anónimos (generalmente, IUSR). Del mismo modo, si elige ejecutar la aplicación en una cuenta arbitraria, se ejecutará en cualquier contexto de seguridad configurado para esa cuenta. "

fuente: enlace

score 0 · Answer 2

No tengo el botón "Comentar", así que perdóneme si esta no es una respuesta completa. Tal vez un moderador puede convertirlo en un comentario si es necesario. Pero al menos puedo responder parcialmente tu pregunta.

Usted pregunta "¿es posible que alguien acceda a DirectoryA ...". La navegación por directorio predeterminada no está habilitada y usted dice que el directorio está vacío. Esto significa que no se devolverá nada y obtendrá un error 404 no encontrado al acceder a DirectoryA.

Si un usuario realiza una segunda solicitud (luego) y accede a DirectoryB, y el usuario A tiene acceso allí, usted obtiene acceso. No hay diferencia si accede a DirectoryB o A primero.

Está hablando de un usuario / contraseña encriptados en web.config. No estoy seguro de qué estás hablando allí, tal vez la conexión de base de datos? En IIS, Configuración básica, Conectar como, define cómo IIS accede a los archivos. Eso puede ser "pasar" o un usuario específico. Usted habló sobre un usuario específico, por lo que el usuario debe tener acceso a los archivos en ese momento. Por otra parte, usted dice que DirectoryB está restringido, entonces tiene que usar la transferencia, para poder limitar los permisos de los archivos.

Como etiqueta mencionas ASP.NET. Ese es otro tema. Si está realizando la autenticación a través de cualquier método .NET, entonces esa es una pregunta de la aplicación. En cualquier caso, su pregunta es un poco confusa, por lo que no está claro a qué responder. Tal vez proporcione más detalles o sea más claro sobre lo que quiere saber.