假设网站存储在c:\websites\testing.com\
目前,Web应用程序将文件写入:
/uploads/
/robots.txt
/sitemap.xml
对于应用程序池用户(例如c:\websites\testing.com\)只提供对整个IIS AppPool\testing文件夹的读/写访问权限,而不是必须为每个文件提供权限,这是一种安全隐含吗?
什么是最坏的情况'那会发生什么?
答案 0 :(得分:0)
这取决于您的应用程序的安全性。我会特别注意任何Path Traversal个漏洞。例如如果用户可以上传文件名为“../foo.aspx"”的文件?您必须使用intercepting proxy进行测试。如果是这样,他们可能会将文件写入你的根文件夹。
这是路径遍历的一个示例,它不一定必须以双点开头。如果您确信您的应用程序是安全的,那么风险最小,但因为只有3个文件&在您的情况下,最好单独应用权限。