Windows Server 2008 r2 针对上传脚本的安全性

【问题标题】:Windows Server 2008 r2 security against uploaded scriptsWindows Server 2008 r2 针对上传脚本的安全性
【发布时间】:2011-11-09 18:27:43
【问题描述】:

我开发了一个asp.net应用和windows桌面应用系统。我的客户可以将图像上传到 asp.net 应用程序(只有一个文件夹)。因此,如果有人上传了一个 shell 脚本并执行,则可以获取其他客户端的数据库文件。 Asp.net 应用程序在 windows server 2008 r2(web server edition) 操作系统和 IIS 7.5 下工作。它现在具有管理员权限。我没有域和域控制器,所以我没有高级用户权限管理。并且“applicationpoolidentiy”没有帮助(我什至无法打开页面。)。我想也许我可以拒绝执行上传的脚本?是否可以。或者有没有更好的方法来保护服务器免受上传的脚本的影响?

【问题讨论】:

标签: asp.net security windows-server-2008 iis-7.5


【解决方案1】:

您应该更改您的上传页面,以使用扩展名白名单拒绝所有扩展名不是图像的文件。

为了提高安全性,您应该将 IIS 配置为不执行该目录中的脚本。

【讨论】:

  • 是的,但是如果有人上传了带有 bmp 或 png 扩展名而不是 aspx、asp 扩展名的文件,或者只是上传了 shell 代码中的文件,iis 仍然会执行。
  • @ŞafakKapçı:错了。 IIS 基于扩展名而不是内容执行文件。
  • 谢谢@SLaks。我将从文件选项中为用户配置文件夹。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2012-06-05
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode