Problemas de seguridad de WebDav de IIS 7.5 con estudiantes

1

Hola. Actualmente estoy configurando un servidor para estudiantes universitarios (esto también incluye a estudiantes de TI con conocimientos de tecnología) y utilizaré IIS 7.5 con Webdav para que los estudiantes accedan a sus archivos desde casa. El Webdav incorporado filtra todas las extensiones de archivo peligrosas (php, asp, etc. código de servidor peligroso) y me preguntaba si hay alguna forma de que puedan salir de estas extensiones y / o poner en peligro el sistema. La nueva versión de Webdav me parece lo suficientemente buena para confiar y me preguntaba si alguien tenía alguna experiencia o consejo con las versiones más recientes del sistema de archivos.

Tampoco estoy buscando sugerencias sobre diferentes tipos de servidores de archivos, sé algunos que podría usar y ya tengo los archivos en mi servidor listos para IIS 7.5.

Gracias

    
pregunta user2852841 12.10.2013 - 08:55
fuente

1 respuesta

1

Iría al revés, deshabilitaría la ejecución de secuencias de comandos para todos los directorios de carga.

enlace

Las extensiones de archivo no son peligrosas, la ejecución del código es. Dependiendo de la configuración del servidor, podría ser posible cambiar el nombre de un archivo a través de algún backdoor o ejecutar scripts incluso si la extensión es incorrecta (he visto servidores web ejecutando php en archivos .html, por lo que no es del todo imposible que alguien arruine la configuración) para que el intérprete php se ejecute sobre cada archivo). Tal vez las actualizaciones rompan su seguridad (.php6 también podría funcionar repentinamente) o alguien instala el soporte para un nuevo idioma.

También los estudiantes pueden querer subir .php solo para trabajar en ellos. Especialmente si estás esperando estudiantes de TI.

    
respondido por el Sebastian Mohr 12.10.2013 - 19:49
fuente

Lea otras preguntas en las etiquetas