Bảo mật đúng cách thư mục đọc/ghi IIS 7

Question

Tôi đang chạy IIS 7 và ASP.NET 4. Đây là một ứng dụng biểu đồ trực tuyến trong đó một thư mục cần có quyền truy cập đọc/ghi. Người dùng không tải trực tiếp bất kỳ thứ gì vào thư mục này; thay vào đó họ cấu hình các thiết lập biểu đồ và sau đó ASP.NET tạo ra biểu đồ trên máy chủ và lưu nó như là một hình ảnh vào thư mục đọc/ghi đó. Người dùng được chuyển hướng để tải xuống hình ảnh biểu đồ từ thư mục đó.

Để cho phép IIS/ASP.NET lưu hình ảnh vào thư mục, tôi cấp quyền WRITE cho tài khoản IIS AppPool/ChartApp.

Nhưng, tôi lo ngại có quyền ghi vào thư mục mở cho HTTP. Trong khi không có cách trực tiếp để tải lên một tập tin thông qua trang web của tôi vào thư mục đó, tôi lo ngại rằng tin tặc sẽ tìm cách tải lên một tập lệnh và sau đó thực thi nó. Những mối quan tâm này có hợp lệ không? Tôi có cần phải làm gì khác để bảo mật thư mục đọc/ghi đó không?

Cảm ơn.

Answer 1

Điều tôi đã làm là sử dụng tài khoản khác để ghi tệp. Mã số từ this article hoạt động tốt cho sự phân tán. Tài khoản ghi tệp có quyền ghi và tài khoản AppPool "chính" vẫn chỉ đọc.

Answer 2

Cấu hình âm thanh và thiết lập chuẩn bình thường. Như bạn đã chỉ ra, không có cách nào để tải lên tệp trừ khi bạn thêm tệp.

Nếu bạn đặc biệt hoang tưởng về điều này, bạn có thể thiết lập tài khoản người dùng mới và sử dụng tài khoản đó làm tài khoản 'người dùng ẩn danh' (thông tin đăng nhập được sử dụng bởi người dùng duyệt thông thường trên trang web của bạn) và đảm bảo rằng tài khoản đó không 't có viết acccess trong khi các tài khoản AppPool nào. Người dùng ẩn danh sử dụng danh tính AppPool theo mặc định.

What are all the user accounts for IIS/ASP.NET and how do they differ? có chi tiết về từng loại tài khoản khác nhau.