IIS 中的模拟是否不安全? [关闭]

【问题标题】:Is Impersonation in IIS unsafe? [closed]IIS 中的模拟是否不安全? [关闭]
【发布时间】:2013-01-08 11:19:33
【问题描述】:

我是新手。对于 IIS 中的模拟,您怎么看?我认为这是不安全的。 IIS 如何产生一个 Win32 线程来处理具有用户身份的用户请求?这是否意味着该线程可以在未经用户许可的情况下使用用户身份做任何事情?例如,该线程可以连接到其他服务器,并以用户的身份进行操作。

【问题讨论】:

  • “你试过什么?” - 即您阅读了哪些文件和文件来证明/证伪您的假设?
  • 这个问题很可能会引起争论,在这里不太可能得到很好的回应。你最好在 Programmers.StackExchange.com 上问这个

标签: asp.net iis impersonation


【解决方案1】:

使用模拟时,您通常会创建一个只有足够权限来执行所需操作的用户,例如读取 c:\inetpub\wwwroot 中文件夹的内容。类似于当您只需要读取一些值时,您不会创建可以删除表的数据库用户。

【讨论】:

  • 也许我没有说清楚。对于本地资源,我认为这是可以接受的,因为这些资源由 IIS 和发出请求的用户共同管理。但我认为这不应该应用于远程资源。远程资源由其他服务器管理,奇怪的是IIS可以在未经用户许可的情况下使用用户身份访问这些资源。对于第二种情况,我问了另一个question
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2015-12-25
  • 1970-01-01
  • 2014-02-07
  • 1970-01-01
  • 2014-12-21
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode