我的团队被要求“增强”网络应用以允许以下内容。这被视为Web应用程序中的安全风险吗?我不确定这一点。
“能够在虚拟目录之外访问目录,用于导出和导入[数据到数据库]”
换句话说,请求者希望能够导航到应用程序的IIS虚拟目录之外的任何位置的数据文件,可能是在导入(或导出)数据时。
我认为这意味着在Web服务器上,但它可能意味着客户端计算机上的本地文件(需要澄清)。但无论哪种方式问题都存在。
答案 0 :(得分:1)
如果您正在谈论超越Web应用程序的界限,那意味着风险。一旦您允许特定用户超越您的Web应用程序,那么该用户无法控制该网络服务器。
看一下路径遍历攻击:
https://www.owasp.org/index.php/Path_Traversal
此外,以下是为避免这种情况需要考虑的事项列表:
https://www.owasp.org/index.php/File_System#Path_traversal
有任何问题,请告诉我。
此致 法比奥 @fcerullo
答案 1 :(得分:0)
这个问题不是“无论哪种方式”。他们是不同的问题。如果它是关于能够从本地计算机中选择一个文件发送到远程服务器那么这是非常常规的。例如一个人在将文件附加到电子邮件时一直这样做。用户是启动文件选择的用户,它是发送到Web应用程序的文件。这里没有安全漏洞。
如果您需要允许客户端能够浏览服务器计算机以查找各种文件,那么这本身并不是一个安全漏洞。这就是你想要的,你得到了它。这只是一个安全漏洞,当你不是说客户端应该能够从服务器上的任何目录中获取文件时。整个方案被归类为安全问题,因为通常情况下,您不希望客户端访问服务器上的所有包含文件。通常,客户端需要只能访问某些文件。限制您使用虚拟目录是一种方法。例如您希望您的客户能够抓住您网站所有用户记录的实际数据库文件,然后将该数据库文件加载到他们自己的数据库中吗?
如果您需要超越它,则需要实施允许仅访问某些文件的机制。请记住,您的Web服务器正在服务器操作系统上的某个用户的上下文中运行。当客户端请求到达服务器时,该命令执行的Web服务器用户。因此,只需为该Web服务器用户添加权限,就无法实现安全性。