比较容易忽略的asp.net安全设置

参考资料:
http://msdn.microsoft.com/zh-cn/aa302424.aspx

设置方法(以32位windows2003sp2为例):
找到以下两个文件
文件A:C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CONFIG\machine.config
文件B:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config (未装2.0省略)

[php]

1.修改<location allowOverride="true">为:
<location allowOverride="false">
2.在:<trust level="Full" originUrl="" />下面添加:
<identity impersonate="true" />
3.文件A删除(或者注释)以下行:
<identity impersonate="false" userName="" password=""/>

[/php]

以上设置目的(严重与否自己衡量)
1.限制虚拟主机用户通过使用.net framework的System.DirectoryServices命名空间下的DirectoryEntry类等进行ADSI查询.
2.限制System.IO类操作文件范围限于来宾用户所有的权限.
3.其它.如防木马

还没有评论,快来抢沙发!

发表评论

  • 😉
  • 😐
  • 😡
  • 😈
  • 🙂
  • 😯
  • 🙁
  • 🙄
  • 😛
  • 😳
  • 😮
  • emoji-mrgree
  • 😆
  • 💡
  • 😀
  • 👿
  • 😥
  • 😎
  • ➡
  • 😕
  • ❓
  • ❗
  • 69 queries in 0.408 seconds