我的团队被要求“增强”一个网络应用程序以允许以下操作。这是否被视为 Web 应用程序中的安全风险?我不确定。
“能够访问目录,用于在虚拟目录之外导出和导入[数据到数据库]”
换句话说,请求者希望能够导航到应用程序的 IIS 虚拟目录之外的任何地方的数据文件,大概是在导入(或导出)数据时。
我认为这意味着在 Web 服务器上,但它可能意味着客户端计算机上的本地文件(待澄清)。但无论哪种方式,问题都存在。
问问题
65 次
2 回答
1
如果您谈论的是超出 Web 应用程序的边界,那就意味着有风险。一旦您允许特定用户超越您的 Web 应用程序,就无法再控制该用户对 Web 服务器的操作。
看看路径遍历攻击:
https://www.owasp.org/index.php/Path_Traversal
此外,为了避免这种情况,这里列出了需要考虑的事项:
https://www.owasp.org/index.php/File_System#Path_traversal
有任何问题,请告诉我。
问候,法比奥@fcerullo
于 2013-03-06T14:10:59.937 回答
0
这个问题不是“无论如何”。他们是不同的问题。如果是关于能够从本地计算机中选择一个文件发送到远程服务器,那么这是非常常规的。例如,在将文件附加到电子邮件时一直这样做。用户是发起文件选择的人,并且这是他们要发送到 Web 应用程序的文件。这里没有安全漏洞。
如果您需要允许客户端能够浏览服务器计算机以查找各种文件,那么这本身并不是一个安全漏洞。这就是你想要的,你得到了。仅当您并不意味着客户端应该能够从服务器上的任何目录中获取文件时,这才是安全漏洞。这整个场景被归类为安全问题,因为您通常不希望客户端访问服务器上的所有包含文件。通常,客户端只需要能够访问某些文件。将您限制在虚拟目录中是一种方法。例如,您是否希望您的客户能够获取包含您网站所有用户记录的实际数据库文件,然后将该数据库文件加载到他们自己的数据库中?
如果您需要超出此范围,则需要实施仅允许访问某些文件的机制。请记住,您的 Web 服务器是在服务器操作系统上的某个用户的上下文中运行的。当客户端请求到达服务器时,它是执行命令的 Web 服务器用户。因此,您无法通过简单地为该 Web 服务器用户设置权限来实现安全性。
于 2013-03-06T11:06:17.953 回答