Назад | Перейти на главную страницу

Безопасный классический хостинг ASP - аналогично среднему доверию ASP.NET

В рождественский период у нас был серьезный компромисс с сервером, когда компромиссная учетная запись FTP использовалась для загрузки черного хода .net, который давал ему доступ ко всей учетной записи компьютера asp.net и содержал десятки магазинов электронной коммерции.

Мы отключили компромисс и убрали беспорядок, но я хочу положить этому конец. Проведя мое исследование, выяснилось, что ограничение приложений .net до среднего уровня (не полного доверия) гарантирует, что приложения будут изолированы друг от друга и не смогут взаимодействовать при нормальных обстоятельствах.

Однако, поскольку наше приложение является классическим ASP и .NET, мало смысла защищать .net, если я не смогу защитить и ASP.

Кто-нибудь знает, какую дополнительную безопасность мне может потребоваться реализовать, чтобы аналогичным образом обезопасить ASP?

Сожалеем о вашем вторжении.

AFAIK вам, вероятно, нужно будет посмотреть на пулы приложений. Я не эксперт в этом, но насколько я понимаю, вы можете настроить рабочий процесс ASP (w3wp.exe) для запуска в пуле приложений под указанным вами пользователем (а не с обычной учетной записью SYSTEM или IUSR). Затем в Windows вы можете довольно сильно заблокировать этого пользователя. Например, вы предоставите им доступ только к папке wwroot / {yourwebsitename}, возможно, только читать доступ к этой папке - если вы не записываете какие-либо объекты файловой системы (для кеширования или по другим причинам).

Путем включения каждого из ваших веб-сайтов в разные пулы приложений (с соответственно разными пользователями) нарушение на одном веб-сайте не должно влиять на другие сайты в wwwroot.

Как я уже сказал, вам придется больше читать самому, но это отправная точка для вашего исследования.

Также убедитесь, что вы прошли настройки ASP в IIS и отключили такие вещи, как удаленная отладка и отправка ошибок клиенту. Общий учебник / книга по обеспечению безопасности IIS, вероятно, будет лучшим ресурсом, чем что-то конкретное для ASP. Вы рассматривали возможность обновления сервера до IIS7? Я уверен, что существует множество эксплойтов, исправлений ошибок и т. Д. - и обычно рекомендуется поддерживать его в актуальном состоянии (хотя это зависит от ОС, поэтому вам могут быть связаны руки).